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《Windows 网 络 管理 简明 教程 》 前 言 


Windows 操作 系统 作为 当今 主流 的 窗口 操作 系统 ,由 于 其 操作 直观 ,简便 , 深 受 广大 
用 户 的 青睐 。Microsoft 公司 推出 的 Windows Server 2003 是 在 Windows Server 2000 的 
基础 上 发 展 而 来 的 ,系统 更 加 稳定 ,功能 更 加 强大 , Windows 服务 器 也 成 为 当今 中 .小 企 
业 首 选 的 服务 器 。 

本 书 是 Windows 网 络 管理 的 简明 教程 ,主要 以 Windows Server 2003 为 例 ,介绍 
Windows 网 络 管理 概述 ,NTFS 文件 系统 、 磁 盘 管 理 ,深入 讲解 了 活动 目录 服务 .账户 管 
理 、 组 织 单位 和 组 策略 ,重点 讲解 如 何 实现 DNS 服务 器 、DHCP 服务 器 、Web 服务 器 、 远 
程 访问 与 虚拟 专用 网 .Windows 路 由 与 NAT 终端 服务 与 远程 桌面 等 典型 网 络 服务 。 

本 书面 向 网 络 设计 与 管理 的 入 门 者 , 旨 在 使 读者 学 习 完 本 书后 ,学 会 Windows 网 络 
操作 系统 的 使 用 ,掌握 常用 网 络 服务 的 概念 ,利用 Windows Server 2003 构建 企业 内 部 网 
络 ,以便 为 学 习 其 他 网 络 操作 系统 打下 基础 。 本 书 尽 可 能 通过 实例 来 讲解 Windows 常见 
网 络 管理 和 典型 网 络 服务 的 配置 。 

在 教材 内 容 深 浅 程度 上 ,坚持 理论 够 用 、 侧 重 实践 由 浅 入 深 的 原则 。 作 为 教材 ,学 习 
本 书 所 需 的 课时 约 为 30 理论 学 时 、20 实验 学 时 。 

本 书 由 杨 杰 、 崔 建 涛 任 主编 , 王 华东 任 副 主编 。 参 与 本 书 编写 的 有 郑州 轻工业 学 院 的 
杨 杰 、 崔 建 涛 \ 王 华东 、 张 玲 、 孙 海燕 、 杨 华 、 崔 霄 。 在 本 书 的 编写 过 程 中 ,得 到 了 郑州 轻 工 
业 学 院 和 清华 大 学 出 版 社 的 大 力 支 持 , 在 此 表示 感谢 。 

由 于 编者 水 平 有 限 , 书 中 难免 存在 疏漏 之 处 , 敬 请 广大 读者 批评 指正 。 
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第 1 章 Windows 网 络 管理 概述 


学 习 目 标 

学 习 完 本 章 后 ,能 够 了 解 Windows Server 2003 增强 功能 、 版 本 、 网 络 管理 任务 以 及 
大 型 网 络 中 常见 的 服务 器 角色 ,熟悉 TCP/IP, 掌 握 TCP/IP 诊断 .连接 工具 的 使 用 方法 ， 
理解 工作 组 结构 、 域 结构 网 络 的 特征 ,掌握 Windows Server 2003 网 络 及 防火 墙 设置 。 


1.1 Windows Server 2003 概述 
1.1.1 Windows Server 2003 增强 功能 


Windows Server 2003 为 用 户 提供 了 多 任务 内存 支持 、 对称 多 处 理 . 即 插 即 用 、 群 
集 .文件 系统 功能 .服务 质量 .终端 服务 和 远程 安装 服务 等 增强 功能 。 

(1) 多 任务 。 多 任务 使 用 户 能 在 一 个 系统 上 同时 运行 多 个 应 用 程序 。 用 户 可 以 同时 
运行 的 应 用 程序 数量 以 及 运行 这 些 程序 时 的 系统 性 能 取决 于 系统 内 存 的 大 小 。 

(2) 内 存 支持 。 每 个 在 Windows Server 2003 上 运行 的 应 用 程序 都 需要 一 定 的 内 存 
来 运行 。 为 了 支持 同时 和 运行 多 个 应 用 程序 和 需要 大 量 内 存 的 应 用 程序 , Windows Server 
2003(32 位 版 本 ) 提 供 了 对 多 达 64GB 内 存 的 支持 。 

(3) 对 称 多 处 理 。 对 称 多 处 理 (SMP) 是 一 种 技术 , 它 允 许 操作 系统 同时 使 用 多 个 处 
理 器 ,通过 缩短 事务 处 理 时 间 来 改进 性 能 。 根 据 版 本 不 同 , Windows Server 2003 可 以 对 
多 达 32 个 处 理 器 的 SMP 提供 支持 。 

(4) 即 插 即 用 。 即 插 即 用 设备 在 插入 计算 机 后 可 以 立即 使 用 ,而 不 需要 执行 复杂 的 
安装 过 程 , Windows Server 2003 会 自动 识别 新 增 的 硬件 并 完成 其 配置 。 

(5) 群集 。Windows Server 2003 可 以 组 合 一 组 独立 的 计算 机 来 运行 一 组 应 用 程序 。 
这 个 组 合 对 于 客户 端 和 应 用 程序 就 像 是 一 个 单独 的 系统 ,这 个 功能 被 称 为 群集 。 这 种 方 
式 可 以 防止 单 点 失败 。 例 如 ,如 果 一 台 计 算 机 发 生 问题 ,群集 里 的 另 一 台 计 算 机 将 代替 它 
提供 相同 的 服务 。 

(6) 文件 系统 功能 。Windows Server 2003 支持 3 种 文件 系统 : FAT、FAT32 和 
NTFS 文件 系统 。 一 般 情况 下 ,在 配置 为 双重 启动 的 计算 机 上 才 使 用 FAT 或 FAT32 文 
件 系统 ,NTFS 是 Microsoft 公司 建议 使 用 的 文件 系统 ,NTFS 提供 文件 系统 恢复 .大 容量 
分 区 、 安 全 性 .磁盘 配额 \ 压 缩 等 功能 。 

(7) 服务 质量 (QoS) 。 在 Windows Server 2003 中 ,服务 质量 (QoS) 是 一 系列 服务 要 
求 ,网 络 必须 满足 这 些 要 求 才能 保证 一 定 的 数据 传输 服务 水 平 。QoS 可 以 控制 分 配给 应 
用 程序 的 网 络 带 宽 , 保 证 端 到 端的 快速 传输 信息 。 

(8) 终端 服务 。 终 端 服务 可 以 让 用 户 如 同 访问 本 地 计算 机 一 样 访问 远程 计算 机 。 用 
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户 可 以 通过 使 用 终端 服务 来 运行 服务 器 上 的 应 用 程序 ,也 可 以 从 网 络 上 的 任何 地 方 对 服 
务 器 进行 管理 。 使 用 终端 服务 可 以 减少 网 络 的 总 体 运 行 成 本 。 

(9) 远程 安装 服务 。 远 程 安装 服务 使 管理 员 能 在 整个 企业 内 部 很 方便 地 远程 部 署 操 
作 系 统 。 


1.1.2 Windows Server 2003 版 本 


Windows Server 2003 分 为 以 下 4 个 版 本 。 
1. Windows Server 2003 Web 版 


该 产品 专门 针对 Web 服务 优化 ,特别 适用 于 构建 网 站 ,为 采用 ASP. NET 技术 的 网 
站 与 应 用 程序 提供 了 一 个 快速 开发 与 构建 的 平台 。 该 产品 支持 双 路 处 理 器 .2GB 内 存 ， 
同时 支持 ASP. NET、DFS 分 布 式 文件 系统 、EFS 文件 加 密 系统 IIS 6. 0、 智 能 镜像 .ICF 
因特网 防火 墙 \IPv6、Microsoft. Net Framework、NLB 网 络 负载 均衡 .PKI、Print Services 
for UNIX、RDP、 远 程 OS 安装 ( 非 RIS 服务 )、RSoP 策略 的 结果 集 、 影 子 复 制 恢复 
(Shadow Copy Restore) .VPN 和 WMI 命令 行 模式 等 功能 。 此 版 本 仅 能 够 在 活动 目录 域 
中 作为 成 员 服 务 器 ,而 不 能 够 作为 域 控制 器 。 


2. Windows Server 2003 标准 版 


该 产品 是 针对 中 小 型 企业 的 核心 产品 。 支 持 双 路 处 理 器 ,4GB 内 存 。 除 了 具备 
Windows Server 2003 Web 版 的 所 有 功能 外 ,还 支持 证 书 服务 ,UDDI 服务 .传真 服务 、 
IAS 因特网 验证 服务 、 可 移动 存储 、RIS、 智 能 卡 、 终 端 服务 、WMS 和 Services for 
Macintosh 等 。 


3. Windows Server 2003 企业 版 


该 产品 被 定义 为 新 一 代 高 端 产品 。 最 多 能 够 支持 8 路 处 理 器 ,32GB 内 存 和 2 一 8 个 
节点 的 集群 。 它 是 Windows Server 2003 Standard 版 的 扩展 版 本 ,增加 了 Meta 
Directory Services Support 终端 服务 会 话 目录 、 集 群 . 热 添加 (Hotr-Add) 内 存 和 NUMA 
非 统一 内 存 访 问 存 取 技 术 。 这 个 版 本 还 增加 了 一 个 支持 64 位 计算 的 版 本 。 

4. Windows Server 2003 Datacenter 版 

该 产品 代表 Microsoft 公司 最 高 性 能 的 产品 ,定位 于 最 高 端的 应 用 ,有 着 极其 可 靠 的 
稳定 性 和 扩展 性 能 。 支 持 高 达 8 一 32 路 处 理 器 、64GB 内 存 .2 一 8 节点 的 集群 。 与 


Windows Server 2003 Enterprise 版 相 比 ,该 版 本 增加 了 一 套 Windows Datacenter 
Program 程序 包 。 这 个 产品 同样 增加 了 一 个 支持 64 位 计算 的 版 本 。 
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1.1.3 Windows 网 络 管理 任务 


Windows Server 2003 网 络 管理 的 5 个 主要 任务 如 下 。 

(1) Active Directory 管理 。 通 常 包 括 添 加 新 的 用 户 账 户 或 更 改 现 有 账户 的 属性 、 委 
托管 理 , 域 控制 器 的 管理 等 。 

(2) 资源 管理 。 用 户 经 常 访问 的 网 络 资源 包括 文件 和 打印 机 ,常见 的 资源 管理 任务 
包括 分 配 用 户 权 限 .配置 打印 机 和 将 新 的 Web 内 容 发 布 到 Web 服务 器 。 

(3) 集中 管理 。 应 用 组 策略 使 管理 员 能 够 集中 管理 大 量 工作 站 和 服务 器 。 例 如 ,一 
个 策略 可 用 于 锁定 桌面 ,编辑 注册 表 、 运 行 由 VBScript 编写 的 脚本 程序 或 将 网 络 上 
200 台 计 算 机 的 My Document 文件 夹 重 定向 。 另 外 ,组 策略 还 能 用 于 集中 部 署 和 管理 应 
用 程序 。 

(4) 远程 访问 支持 。 如 果 用 户 经 常 在 办 公 室外 工作 ,或 者 需要 从 家 中 访问 企业 的 网 
络 资源 ,就 必须 通过 拨号 连接 或 虚拟 专用 网 络 连接 方式 来 实现 远程 访问 服务 器 。 

(5) 网 络 支 持 。 必 须 正 确 配置 并 维护 支持 Active Directory ,分 布 式 文件 系统 (DFS) 
的 基础 网 络 服务 ,这 些 服 务 包 括 DHCP、DNS、WINS 等 。 例 如 ,由 于 办 公 室 计算 机 数量 的 
增加 , 需 添 加 一 个 新 的 子 网 ,此 时 就 必须 设置 一 个 新 的 DHCP 作用 域 来 为 新 的 计算 机 提 
供 IP 地 址 。 

大 型 网 络 中 的 服务 器 已 经 进行 了 专门 的 分 类 ,以 满足 客户 不 断 增长 的 需求 。 大 型 网 
络 中 常见 的 服务 器 角色 如 下 。 

(1) 文件 和 打印 服务 器 。 

(2) 数据 库 服务 器 。 

(3) 应 用 程序 服务 器 (IIS\ASP. NET) 。 

(4) 邮件 服务 器 (POP3、SMTP)。 

(5) 终端 服务 器 。 

(6) 远程 访问 /VPN 服务 器 。 

(7) 域 控制 器 (Active Directory) 。 

(8) DNS 服务 器 。 

(9) DHCP 服务 器 。 

(10) 流 式 媒体 服务 器 。 

(11) WINS 服务 器 。 


1.2 网 络 概述 
1.2.1 TCP/IP 


1. IP 地 址 
TCP/IP 网 络 上 的 每 一 台 主 机 都 分 配 有 一 个 唯一 的 IP 地 址 ,以 使 这 些 主 机 在 通信 时 


3 


《Windows 网 络 管理 简明 教程 》 


能 够 相互 识别 。 

IP 地 址 共 占 用 4 个 字 节 ,每 个 字 节 称 为 一 个 octet( 八 位 位 组 ) ,共计 32 位 二 进 制 数 
字 。 为 了 记忆 和 书写 的 方便 ,一 般 以 4 个 十 进 制 数 表示 , 取 值 为 0 一 255, 各 octet 之 间 用 
一 个 点 号 *. ”分 开 ( 例 如 ,192. 168. 10. 1) 。IP 地 址 由 网 络 ID 和 主机 ID 两 部 分 组 成 。 网 
络 ID 表明 主机 所 在 的 网 络 ,每 个 网 络 都 有 唯一 的 网 络 ID。 主 机 ID 标识 了 该 网 络 上 特定 
的 某 台 主机 ,同一 个 网 络 内 的 每 台 主 机 都 必须 有 唯一 的 主机 ID。 

说 明 : 此 处 所 介绍 的 IP 地 址 是 目前 广泛 使 用 的 IPv4 地 址 , Windows Server 2003 还 
支持 下 一 代 的 IPv6 地 址 , 它 使 用 128 位 表示 地 址 ,因此 可 以 提供 更 多 数量 的 IP 地 址 。 


2. IP 地 址 的 传统 分 类 


IP 地 址 分 为 五 类 , 即 A 类 、.B 类 、C 类 .D 类 \E 类 。 其 中 只 有 人 类、B 类 .C 类 IP 地 址 
可 供 一 般 主机 使 用 。 每 类 支持 的 IP 地 址 数量 不 相同 ,以 适应 各 种 不 同 规模 网 络 的 需要 。 

如 果 以 W.X.Y.Z 的 形式 表示 一 个 IP 地址 , 即 W、X、Y、Z 分 别 表示 IP 地 址 的 4 个 
十 进 制 数字 ,不 同类 别 的 IP 地址 其 网 络 ID 的 位 数 与 主机 ID 的 位 数 不 同 ,如 表 1-1 所 示 。 


表 1-1 IP 地 址 的 传统 分 类 


类 别 Network ID | HostID | W 值 的 范围 | 支持 的 网 络 数 | 每 个 网 络 可 支持 的 主机 数 
A 类 Ww ZZ 1~126 126 16 777 214 
B 类 W.X 4 128~191 16 384 65 534 
C 类 WEY Z 192 一 223 2 097 152 254 
1) A 类 地 址 


A 类 地 址 适用 于 超大 规模 的 网 络 。 仅 使 用 第 一 个 octet(8 位 ) 表 示 网 络 ID, 后 3 个 
octet(24 位 ) 表 示 主 机 ID。A 类 地 址 的 第 一 个 octet 的 最 高 二 进 制 位 总 为 0, 这 样 就 限制 
了 A 类 地 址 第 一 个 十 进 制 数字 的 范围 小 于 127, 因 此 仅 有 127 个 可 能 的 A 类 网 络 。 每 一 
个 A 类 网 络 能 支持 16 777 214 个 主机 地 址 ,这 个 数 是 由 2* 一 2 得 到 的 。 减 2 是 必要 的 ， 
因为 全 0 的 主机 ID 表示 网 络 地 址 ,而 全 1 的 主机 ID 表示 网 络 广播 地 址 。 从 技术 上 讲 ， 
127.0.0.0 也 是 一 个 A 类 地 址 ,但 是 它 已 被 保留 作为 环 回 (look back) 测 试 之 用 而 不 能 分 
配给 一 个 网 络 , 因 此 仅 有 126 个 A 类 网 络 。 

2) B 类 地 址 

B 类 地 址 支持 中 到 大 型 的 网 络 。B 类 IP 地 址 使 用 前 两 个 octet(16 位 ) 表 示 网 络 ID， 
后 两 个 octet(16 位 ) 表 示 主 机 ID。B 类 地 址 的 第 一 个 octet 的 最 高 两 位 总 为 10, 剩 下 的 
6 位 既 可 以 是 0 也 可 以 是 1, 这 样 就 限制 了 B 类 地 址 第 一 个 十 进 制 数 字 的 范围 介 于 128 一 
191 之 间 。B 类 地 址 的 后 两 个 octet (16 位 ) 标 识 主机 ID。 每 一 个 B 类 网 络 能 支持 
64 534 个 不 同 的 主机 地 址 ,这 个 数 由 2* 一 2 得 到 。B 类 网 络 仅 有 16 384 个 。 

3) C 类 地 址 

C 类 地 址 支持 大 量 的 小 型 网 络 。C 类 地 址 使 用 前 3 个 octet(24 位 ) 表 示 网 络 ID, 仅 
用 最 后 一 个 octet(8 位 ) 表 示 主 机 ID。C 类 地 址 的 第 一 个 octet 的 前 3 位 数 为 110 ,这样 就 
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限制 了 C 类 地 址 第 一 个 十 进 制 数 字 的 范围 介 于 192 一 223 之 间 。 每 一 个 C 类 地 址 理论 上 
可 支持 最 大 256 个 主机 地 址 (0 一 255) ,但 是 仅 有 254 个 可 用 ,因为 0( 全 0 主机 ID) 和 255 
(全 1 主机 ID) 不 是 有 效 的 主机 地 址 。 可 以 有 2 097 152 个 不 同 的 C 类 网 络 地 址 。 

4) D 类 地 址 

D 类 地 址 用 于 在 IP 网 络 中 的 多 播 (multicasting)。D 类 地 址 的 前 4 位 总 为 1110， 
D 类 地 址 第 一 个 十 进 制 数 字 的 范围 介 于 224 一 239 之 间 。 

5) 下 类 地 址 

EE 类 地 址 留 作 研究 之 用 ,因此 Internet 上 没有 可 用 的 玉 类 地 址 。E 类 地 址 的 前 4 位 
总 为 1, 因 此 下 类 IP 地 址 第 一 个 十 进 制 数字 的 范围 介 于 240 一 255 之 间 。 


3. 子 网 掩 码 (Subnet Masks) 


在 TCP/IP 中 , 子 网 掩 码 也 是 占用 32 位 ,用 来 区 分 网 络 上 的 主机 是 否 在 同一 网 络 内 。 
各 类 IP 地 址 默认 的 子 网 掩 码 如 表 1-2 所 示 。 


表 1-2 各 类 IP 地址 的 默认 子 网 掩 码 


类 别 默认 的 子 网 掩 码 (二 进 制 ) 默认 的 子 网 掩 码 (十 进 制 ) 
A 类 11111111 00000000 00000000 00000000 255. 0.0.0 

B 类 11111111 11111111 00000000 00000000 255. 255. 0.0 

C 类 11111111 11111111 11111111 00000000 255. 255. 255. 0 


例如 ,如 果 A 主机 的 IP 地 址 为 192. 168. 100. 1, 其 二 进 制 值 为 11000000. 10101000. 
01100100. 00000001, 而 子 网 掩 码 为 255. 255. 255. 0, 其 二 进 制 值 为 11111111. 11111111. 
11111111. 00000000, 则 计算 网 络 ID 的 方法 如 下 。 

(1) 将 IP 地 址 与 子 网 掩 码 两 个 值 中 相应 的 二 进 制 位 进行 逻辑 与 (AND) 运 算 。 

(2) 将 逻辑 与 运算 后 的 结果 与 子 网 掩 码 中 的 各 字 节 互相 映射 ,只 要 在 子 网 掩 码 中 位 
置 为 1 的 ,其 所 映射 的 位 就 是 网 络 ID。 在 IP 地 址 中 扣除 网 络 ID 后 ,其 余 的 部 分 就 是 主 
机 ID。 

因此 ,A 主机 的 网 络 ID 就 是 192. 168. 100, 用 4 个 字 节 表示 网 络 ID 的 话 ,其 网 络 ID 
就 是 192. 168. 100. 0 ,而 主机 ID 就 是 1。 同 理 , 如 果 B 主机 的 IP 地 址 为 192. 168. 100. 5， 
子 网 掩 码 为 255.255.255.0, 则 B 主机 的 网 络 ID 也 是 192. 168. 100.0。 由 于 这 两 台 主 机 
的 网 络 ID 都 是 192. 168. 100. 0 ,表示 它们 在 同一 个 网 络 内 ,因此 可 以 直接 通信 。 反 之 ,如 
果 两 台 主机 的 网 络 ID 不 同 , 表 示 它 们 位 于 不 同 的 网 络 内 ,因此 无 法 直接 沟通 ,必须 通过 路 
由 器 转发 。 


4. 默认 网 关 


如 果 A 主机 要 与 位 于 同一 个 网 络 内 的 B 主机 通信 ,可 以 直接 将 数据 发 送 给 也 主机 ; 
但 是 ,如 果 要 与 位 于 不 同 网 络 的 C 主机 通信 , 则 必须 将 数据 发 送 给 路 由 器 ,再 由 路 由 器 负 
责 发 送 给 C 主机 。 一 般 来 说 ,一 台 主机 要 通过 路 由 器 转发 数据 ,必须 将 其 “默认 网 关 ” 指 
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向 路 由 器 的 IP 地 址 。 
如 图 1-1 所 示 ,甲乙 两 个 网 络 利用 路 由 器 连接 。 
主机 B 
IP: 192.168.100.2 


子 网 掩 码 : 255.255.255.0 
默认 网 关 : 192.168.100.254 


接口 了 了 地 址 ， 
oa 
AAA 


192.168.200.254 


IP: 192.168.100.1 
子 网 掩 码 : 255.255.255.0 
默认 网 关 : 192.168.100.254 


主机 C 

IP: 192.168.200.1 
子 网 掩 码 : 255.255.255.0 
默认 网 关 : 192.168.200.254 


图 1-1 甲乙 两 个 网 络 通过 路 由 器 连接 


如 果 甲 网 络 上 的 主机 A 要 与 乙 网 络 上 的 主机 C 通信 ,经 过 计算 ,主机 A 的 网 络 ID 
为 192. 168. 100.0, 而 主机 C 的 网 络 ID 为 192.168.200.0, 主 机 A 和 主机 C 位 于 不 同 的 
网 络 内 ,主机 A 会 将 数据 发 送 给 默认 网 关 , 也 就 是 IP 地 址 为 192. 168. 100. 254 的 路 由 器 
接口 ,然后 由 路 由 器 转发 给 乙 网 络 上 的 主机 C。 


5. 专用 IP 


专用 IP 也 称 为 科 有 IP(Private IP) ,各 公司 可 以 自行 选择 适合 的 专用 IP, 而 且 不 需 
要 申请 ,因此 可 以 节省 网 络 建设 的 成 本 。 不 过 专用 IP 只 能 在 公司 内 部 的 局 域 网 使 用 , 虽 
然 它 可 以 让 内 部 计算 机 互通 ,但 是 无 法 与 外 部 的 网 络 (例如 Internet) 直 接 通信 。 如 果 要 
与 外 部 的 网 络 互通 ,就 必须 通过 网 络 地 址 转换 (NAT) 等 途径 解决 。 私 有 IP 如 表 1-3 
所 示 。 

表 1-3 私有 了 JP 
类 别 专用 全 范围 
A 10. 0. 0. 0 一 10. 255. 255. 255, 即 10. 0. 0.0/8 


172. 16. 0. 0 一 172. 31. 255. 255, 即 172. 16. 0. 0/12 


C 192. 168. 0. 0 一 192. 168. 255. 255 , 即 192. 168. 0. 0/16 


与 专用 IP 对 应 的 是 公共 IP(Public IP) ,例如 202. 196. 0. 1。 使 用 公用 IP 的 计算 机 
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可 以 直接 和 外 部 网 络 互通 ,因此 可 以 在 这 些 计算 机 上 对 外 提供 网 络 服务 等 ,这 些 IP 必须 
事先 申请 才能 使 用 。 


1.2.2 TCP/IP 实用 工具 


TCP/IP 协议 集 提 供 基 本 的 TCP/IP 实用 工具 ,Windows 包括 两 类 基于 TCP/IP 的 
实用 工具 : 诊断 工具 和 连接 工具 。 


1. 诊断 工具 


允许 用 户 检测 和 解决 网 络 问 题 ,常用 的 诊断 工具 命令 如 下 。 
(1) arp: 显示 和 修改 地 址 解析 协议 (ARP) 高 速 缓存 。 

(2) hostname: 显示 计算 机 的 主机 名 称 。 

(3) ipconfig: 显示 和 更 新 当前 的 TCP/IP 配置 ,包括 IP 地 址 。 
(4) nbtstat: 显示 本 地 NetBIOS 名 称 表 。 

(5) netstat: 显示 TCP/IP 会 话 信息 。 

(6) ping: 测试 两 台 计 算 机 之 间 的 网 络 连 接 。 

(7) tracert: 跟踪 数据 包 传 送 到 目的 地 的 路 径 。 


2. 连接 工具 


允许 通过 不 同 的 协议 在 计算 机 之 间 建 立 连 接 , 常 用 的 连接 工具 如 下 。 

(1) FTP: 使 用 TCP 在 客户 端 计算 机 和 运行 文件 传输 协议 (FTP) 的 服务 器 之 间 传 输 
文件 。 

(2) Telnet: 远程 访问 运行 Telnet 服务 的 服务 器 。 

(3) TFTP: 使 用 UDP 在 客户 端 计算 机 和 运行 小 型 文件 传输 协议 (TFTP) 的 服务 器 
之 间 传 输 小 型 文件 。 


1.3 Windows 网 络 环境 


根据 网 络 中 计算 机 的 配置 和 访问 信息 的 方式 , Windows 支持 工作 组 和 域 两 种 结构 的 
网 络 。 


1.3.1 工作 组 结构 


工作 组 由 一 组 用 网 络 连 接 在 一 起 的 计算 机 组 成 ,如 图 1-2 所 示 。 

工作 组 网 络 也 称 为 对 等 网 络 ,工作 组 结构 的 网 络 具有 以 下 特征 。 

(1) 网 络 上 每 台 计 算 机 都 有 独立 的 本 地 安全 账户 数据 库 , 称 为 安全 账户 管理 器 
(Security Accounts Manager,SAM) 数 据 库 。 如 果 一 个 用 户 要 访问 某 台 计算 机 内 的 资源 ， 
那么 必须 在 这 人 台 计算 机 上 (SAM 数据 库 内 ) 为 该 用 户 创建 用 户 账户 。 
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Windows XP 
Windows Server 2003 Professional 


工作 组 结构 的 网 络 


Windows 2000 
Professional 


Windows NT 
Workstation 


Windows Server 2000 
1-2 工作 组 结构 的 网 络 


(2) 网 络 上 没有 专用 的 服务 器 ,计算 机 间 也 不 存在 层次 或 隶属 关系 。 所 有 计算 机 都 
是 平等 的 ,资源 与 管理 分 散在 各 个 计算 机 上 ,不 支持 集中 管理 。 

(3) 用 户 数 通常 不 超过 10 个 。 

(4) 工作 组 中 的 计算 机 数量 越 多 , 越 难 管理 。 


1.3.2 域 结构 


域 由 一 组 用 网 络 连 接 在 一 起 的 计算 机 组 成 ,如 图 1-3 所 示 。 


域 控制 器 1 域 控制 器 2 


域 结构 的 网 络 


Windows 2000 Windows XP 
Professional 


Windows Server 2000 Windows Server 2003 
1-3 ” 域 结 构 的 网 络 


域 是 网 络 上 计算 机 的 逻辑 分 组 , 域 结 构 的 网 络 具 有 以 下 特征 。 

(1) 集中 式 的 资源 ,管理 和 认证 。 

(2) 域 中 所 有 的 计算 机 共享 一 个 集中 式 的 目录 数据 库 , 它 包含 了 整个 域内 的 用 户 账 
户 与 计算 机 账户 信息 。 


Windows 网 络 


(3) 用 户 只 需要 有 一 个 域 用 户 账 户 就 能 访问 域 中 的 共享 资源 。 

(4) 支持 的 计算 机 数量 可 从 数 台 到 数 千 台 。 

域 提供 了 集中 管理 网 络 资源 的 方法 ,如 下 所 述 。 

(1) 单一 登录 。 域 为 用 户 提供 了 一 次 单独 登录 的 流程 以 便 访 问 各 种 网 络 资源 ,包括 
文件 ,打印 和 应 用 程序 资源 。 所 有 的 用 户 账户 都 存储 在 一 个 集中 位 置 。 

(2) 单一 用 户 账户 。 域 里 的 用 户 只 需要 一 个 单一 的 账户 就 可 以 访问 各 台 计算 机 上 的 
资源 。 而 工作 组 里 的 用 户 在 每 台 他 们 需要 访问 的 计算 机 上 都 需要 一 个 单独 的 账户 。 

(3) 集中 化 管理 。 域 提供 了 集中 化 管理 。 所 有 的 用 户 账户 和 资源 的 信息 都 可 以 在 域 
里 的 某 个 位 置 统 一 管理 。 

(4) 可 伸缩 性 。 域 可 以 扩展 为 更 大 规模 的 网 络 。 在 大 规模 网 络 上 ,用 户 访问 资源 的 
方式 和 资源 管理 的 方式 与 小 规模 网 络 相同 。 


1.4 配置 Windows 网 络 
1.4.1 安装 与 设置 TCP/IP 


在 Windows Server 2003 中 默认 已 经 安装 了 TCP/IP。 如 果 没 有 安装 ,可 以 打开 “ 控 
制 面板 ”, 双 击 “ 网 络 连 接 ”, 右 击 后 选择 “本 地 连接 ”一 “属性 ”一 “安装 ”一 “协议 ”TCP/ 
IP, 即 可 开始 安装 TCP/IP。 

如 果 要 对 TCP/IP 进行 设置 ,操作 步骤 为 : 打开 * 网 上 邻居 ”, 右 击 后 选择 “本 地 连 
接 ” 一 “属性 ”>“Internet 协议 (TCP/IP)” 选 项 ,出 现 如 图 1-4 所 示 的 对 话 框 后 ,可 以 修改 
TCP/IP 设置 。 


net 协议 TCP/IP) 改 性 


图 1-4 Internet 协议 (TCP/IP) 属 性 


管理 概述 
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如 果 用 户 设置 的 新 IP 地址 与 其 他 计算 机 重复 ,会 出 现 如 图 1-5 所 示 的 提示 信息 。 


1-5 ”IP 地 址 冲突 


完成 后 ,在 “命令 提示 符 ” 下 利用 ipconfig 与 ping 命令 检查 设置 是 否 正确 ,如 图 1-6 和 
图 1-7 所 示 。 


:Documents and Settings\Adninistrator>ipconf ig 


indows IP Configuration 


[Ethernet adapter 本 地 连接 2: 


Connection-specific DNS Suffix : 
IP Address 192.168.18.8 
255.255.255.9 


: 192-168.19.1 


:Documents and Settings\hdministrator> 


图 1-6 ipconfig 命令 


:Docunents and Settings\hdninistrator>ping 192.168.19.8 
jpinging 192.168.19.8 with 32 bytes of data: 


lIReply from 192.168.19 ytes=32 tine=2ns TITL=128 
lIReply from 192.168.19 ytes=32 tine<1nms TITL=128 
Reply from 192.168.19 ytes=32 tine<1ms TTL=128 
lIReply from 192.168.19 ytes-32 tine<lnms TTL=128 


lping statistics for 192.168.10.8: 

Packets: Sent = 4。 Received = 4, Lost = 9 《〈Bx loss), 
Approxinate round trip tines in nilli-seconds: 

Mininun = Gns, Maxinun = 2ns, fverage = Ons 


:\Docunents and Settings\hdministrator>yw 


1-7 ping 命令 


1.4.2 配置 Windows 防火 墙 


Windows Server 2003 从 Service Pack 1 开始 增加 了 “Windows 防火 墙 ?功能 , 自 带 的 
防火 墙 工具 是 Internet 连接 防火 墙 (Internet Connection Firewall,ICF) ,以 便 保 护 计 算 机 
免 受 外 部 攻击 。 

要 启用 Windows 防火 墙 ,可 以 双击 “控制 面板 ”中 的 “Windows 防火 墙 ”, 在 如 图 1-8 
所 示 的 对 话 框 中 选择 “启用 ” 即 可 。 启 动 *“Windows 防火 墙 ”后 , 它 就 会 阻挡 未 授权 用 户 通 
过 网 络 访问 此 计算 机 。 
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图 1-8 Windows 防火 墙 


可 以 通过 “例外 ”选项 卡 来 开放 部 分 资源 ,例如 开放 文件 和 打印 机 共享 、 远 程 桌面 、 
UPnP 框架 等 ,如 图 1-9 所 示 。 


图 1-9 Windows 防火 墙 的 “例外 ”选项 卡 


如 果 要 开放 端口 ,请 单 击 “ 添 加 端口 ”按钮 ,输入 名 称 与 端口 号 ,如 图 1-10 所 示 。 
如 果 要 开放 程序 ,请 单 击 “ 添 加 程序 ”按钮 ,选择 列表 中 现 有 的 程序 ,或 单 击 “ 浏 览 ” 按 
钮 选择 未 列 出 的 程序 ,如 图 1-11 所 示 。 
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图 1-10 “添加 端口 "对 话 框 


国 0utlook Express 


图 1-11 “添加 程序 ”对 话 框 


如 果 用 户 不 允许 例外 ,也 就 是 说 要 阻挡 外 部 来 的 所 有 访问 行为 ,请 选中 “不 允许 例外 ” 
复 选 框 。 


1. 设置 常规 网 络 服务 


默认 情况 下 ,ICF 提供 了 WWW FTP 等 常用 网 络 服务 的 防火 墙 设置 。 单 击 图 1-8 中 
的 “高 级 ”选项 卡 ,如 图 1-12 所 示 。 

单 击 “ 设 置 " 按 钮 ,进入 “高 级 设置 ”对话 框 。 在 “服务 ”选项 卡 中 ,提供 了 常用 网 络 服务 
的 列表 。 例 如 ,如 果 需 要 提供 FTP 服务 , 则 只 需 勾 选 “FTP 服务 器 ”选项 ,如 图 1-13 所 示 。 
在 打开 的 “服务 设置 ”对 话 框 中 保持 默认 的 计算 机 名 即 可 。 


2. 设置 非常 规 服务 


为 了 防止 用 户 的 非 授权 访问 ,经常 需要 将 一 些 常规 网 络 服务 的 默认 端口 屏 项 掉 ,而 采 
用 一 些 非 默认 端口 提供 常规 的 网 络 服务 。 例 如 ,可 以 使 用 8080 端口 提供 WWW 服务 。 
单 击 图 1-13 中 的 “添加 ?按钮 ,打开 * 服 务 设置 ?对 话 框 。 在 该 对 话 框 中 添加 相应 信息 , 注 
意 一 定 要 在 外 部 和 内 部 端口 号 中 添加 8080, 如 图 1-14 所 示 , 然 后 单 击 “确定 ”按钮 。 这 时 
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即 可 在 服务 列表 中 看 到 刚刚 添加 的 服务 。 


图 1-13 允许 FTP 服务 图 1-14 “服务 设置 对话 框 


3. ICMP 设置 


ICMP 即 Internet 控制 信息 协议 ,最 常用 的 ping 命令 就 是 基于 ICMP 的 。 默 认 情 况 
下 ,ICF 禁用 了 应 用 该 协议 的 信息 请 求 ,例如 ,不 允许 ping 本 机 。 如 果 由 于 特殊 需要 而 想 
ping 本 机 , 则 需要 在 图 1-13 所 示 的 对 话 框 中 单 击 ICMP 选项 卡 ,在 打开 的 选项 卡 中 色 选 
“人 允许 传人 响应 请 求 ”选项 ,如 图 1-15 所 示 。 
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4. 设置 安全 日 志 


设置 安全 日 志 可 以 使 服务 器 在 受到 恶意 攻击 后 保留 安全 日 志 。 单 击 图 1-12“ 安 全 日 
志 记 录 ?” 中 的 “设置 "按钮 ,在 “日 志 设 置 ? 对 话 框 中 勾 选 “记录 被 丢弃 的 数据 包 ? 和 * 记 录 成 
功 的 连接 ”两 个 复 选 框 。 这 样 就 可 以 通过 查看 相应 目录 中 保存 的 日 志文 件 了 解 来 访 者 的 


信息 ,如 图 1-16 所 示 。 


图 1-15 ICMP 允许 传人 响应 请 求 


Erm oe | 


图 1-16 Windows 防火 墙 日 志 设置 


ICF 可 以 有 效 拦截 某 些 用户 对 服务 器 的 扫描 和 攻击 ,并且 可 以 有 效 防范 利用 系统 漏 
洞 进行 端口 攻击 的 蠕虫 病毒 (如 冲击 波 等 )。 无 论 对 于 个 人 计算 机 还 是 网 络 服 务 器 ,都 可 


以 起 到 很 好 的 保护 作用 。 


第 2 章 NTFS 文件 系统 


学 习 目 标 
学 习 完 本 章 后 ,能 够 掌握 NTFS 文 件 系 统 、NTFS 权限 设置 .共享 文 件 夹 及 其 权限 设 
置 共享 文件 夹 的 设置 与 访问 。 


2.1 NTFS 概述 


NTFS(NT File System) 是 Windows Server 2003 所 支持 的 一 种 文件 系统 。NTFS 
具有 如 下 优点 。 

(1) 提供 了 安全 性 ,允许 基于 文件 分 配 权 限 。 

(2) 优化 了 文件 系统 的 结构 . 秘 尺 寸 . 磁 盘 碎 片 .文件 数 等 。 

(3) 支持 文件 压缩 ,以 节省 磁盘 空间 。 

(4) 支持 文件 加 密 ,以 增强 数据 的 安全 性 。 

(5) 支持 磁盘 配额 功能 ,可 以 让 管理 员 管 理 用 户 使 用 磁盘 的 空间 。 

(6) 域 与 活动 目录 的 使 用 ,使 得 管理 与 使 用 网 络 资源 更 为 容易 。 

(7) 可 以 审核 文件 资源 的 使 用 并 可 以 跟踪 用 户 访问 文件 的 情况 。 

(8) NTFS 文件 系统 支持 Unicode 统一 编码 ,可 以 解决 不 同 语言 系统 间 的 兼容 性 
问题 。 


2.2 NTFS 权限 应 用 


当 用 户 试 图 访问 文件 或 者 文件 夹 时 ,NTFS 文件 系统 会 检查 用 户 使 用 的 账户 或 者 账 
户 所属 的 组 是 否 在 此 文件 或 者 文件 夹 的 访问 控制 列表 (ACL) 中 ,如 果 存 在 则 进一步 检查 
访问 控制 项 (ACE) ,然后 根据 控制 项 中 的 权限 来 判断 用 户 最 终 的 权限 。 如 果 访 问 控制 列 
表 中 不 存在 用 户 使 用 的 账户 或 者 账户 所 属 的 组 就 拒绝 用 户 访 问 。 

Windows Server 2003 中 的 标准 权限 如 图 2-1 所 示 。 

标准 权限 包括 如 下 。 

(1) 完全 控制 : 对 文件 或 者 文件 夹 可 执行 所 有 操作 。 

(2) 修改 : 可 以 修改 、 删 除 文件 或 者 文件 夹 。 

(3) 读 取 和 运行 : 可 以 读 取 内 容 , 并 且 可 以 执行 应 用 程序 。 

(4) 列 出 文件 夹 目 录 : 可 以 列 出 文件 夹 内 容 ,此 权限 只 针对 文件 夹 。 

(5) 读 取 : 可 以 读 取 文件 或 者 文件 夹 的 内 容 。 

(6) 写 入 : 可 以 创建 文件 或 者 文件 夹 。 

(7) 特别 的 权限 : 其 他 不 常用 权限 ,比如 删除 权限 。 
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特别 的 权限 
特别 权限 或 高 级 设置 ， 请 单 击 “ 高 级 ”。 高 级 四 | 
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图 2-1 NTFS 权限 


2.2.1 多 重 NTFS 权限 的 规则 


在 应 用 多 重 NTFS 权限 时 ,需要 注意 的 规则 如 下 。 
1. 权限 的 累积 


用 户 对 资源 的 有 效 权限 是 分 配给 该 用 户 账户 和 用 户 所 属 的 组 的 所 有 权限 的 总 和 。 如 
果 用 户 对 文件 具有 * 读 取 ” 权 限 ,该 用 户 所 属 的 组 又 对 该 文件 具有 * 写 入 ”的 权限 ,那么 该 用 
户 就 对 该 文件 同时 具有 “ 读 取 ”和 “ 写 和 人 ”的 权限 。 


2. 文件 权限 高 于 文件 夹 权 限 


NTFS 文件 权限 对 于 NTFS 文件 夹 权限 具有 优先 权 , 如 果 用 户 能 够 访问 一 个 文件 ， 
那么 即使 该 文件 位 于 用 户 不 具有 访问 权限 的 文件 夹 中 ,也 可 以 进行 访问 (前 提 是 该 文件 没 
有 继承 它 所 属 的 文件 夹 的 权限 )。 


3. 拒绝 高 于 其 他 权限 


拒绝 权限 可 以 覆盖 所 有 其 他 的 权限 。 甚 至 作为 一 个 组 的 成 员 有 权 访 问 文件 夹 或 文 
件 ,但 是 该 组 被 拒绝 访问 ,那么 该 用 户 本 来 具有 的 所 有 权限 都 会 被 锁定 而 导致 无 法 访问 该 
文件 夹 或 文件 ,也 就 是 说 上 面 第 一 点 的 权限 累积 原则 将 失效 。 
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2.2.2 NTFS 权限 的 继承 性 


NTFS 权限 具有 继承 性 。 默 认 情况 下 ,授予 父 文件 夹 的 权限 将 被 该 父 文件 夹 下 的 子 
文件 夹 或 文件 所 继承 。 也 就 是 说 文件 或 文件 夹 默 认 会 继承 分 区 或 父 文件 夹 的 权限 ,并 且 
继承 来 的 权限 不 能 直接 设置 和 修改 ,只 能 在 此 基础 上 添加 其 他 权限 。 

利用 Administrators 账户 登录 ,在 C 盘 下 新 建 test 文件 夹 。 然 后 查看 其 属性 ,如 
图 2-2 所 示 。 

为 Guest 用 户 添 加 * 读 取 和 运行 >"“ 列 出 文件 夹 目 录 ”“ 读 取 ” 权 限 , 如 图 2-3 所 示 。 


Aninistrators OIRO03-STD-VI\Adninistrators) 
CREATOR om 


ssn 
Users IN2003-sTD-W\Vsers) 


图 2-2 test 文 件 夹 权限 图 2-3 父 文件 夹 权限 


在 C:Ntest 文件 夹 下 新 建 testl 文件 夹 .发 现 testl 文件 夹 继承 了 C:\test 的 权限 , 灰 
色 对 号 表示 这 些 权限 是 继承 的 ,并 且 不 能 直接 设置 和 修改 ,只 能 在 此 基础 上 添加 其 他 权 
限 ,如 图 2-4 所 示 。 

需要 说 明 的 是 ,NTFS 权限 在 移动 和 复制 文件 时 的 继承 性 ,同一 个 NTFS 分 区 内 或 
不 同 NTFS 分 区 之 间 移 动 或 复制 一 个 文件 或 文件 夹 时 ,该 文件 或 文件 夹 的 NTFS 权限 会 
发 生 不 同 的 变化 。 

(1) 在 同一 个 NTFS 分 区 内 移动 文件 或 文件 夹 时 ,其 实质 就 是 在 目的 位 置 将 原 位 置 
上 的 文件 或 文件 夹 “ 搬 ”过 来 ,因此 文件 和 文件 夹 仍 然 保 留 有 在 原 位 置 的 一 切 NTFS 
权限 。 

(2) 在 不 同 NTFS 分 区 之 间 移 动 文件 或 文件 夹 时 ,文件 和 文件 夹 会 继承 目的 分 区 中 
文件 夹 的 权限 ,其 实质 就 是 在 原 位 置 删除 该 文件 或 文件 夹 ,并 且 在 目的 位 置 新 建 该 文件 或 
文件 夹 。 

(3) 在 同一 个 NTFS 分 区 内 复制 文件 或 文件 夹 时 ,复制 文件 和 文件 夹 将 继承 目的 位 
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Users Ty2003-sTD-W\Vsers) 


my. | ww | 


苯 
团 
间 
可 
.1D 因 回回 口 口 | 过 | 
IOOOOOOD 人 党 


图 2-4 子 文件 夹 权限 


置 中 的 文件 夹 的 权限 。 
(4) 在 不 同 NTFS 分 区 之 间 复 制 文件 或 文件 夹 时 ,复制 文件 和 文件 夹 将 继承 目的 位 
置 中 的 文件 夹 的 权限 。 


2.2.3 设置 NTFS 权限 


要 为 Guest 用 户 设置 不 同 的 访问 权限 ,操作 步骤 如 下 。 

(1) 在 NTFS 磁盘 分 区 创建 一 个 test 文件 夹 , 在 该 文件 夹 下 面 分 别 创建 testl 和 
test2 文件 夹 。 这 两 个 文件 夹 默 认 都 继承 了 父 文件 夹 的 访问 权限 。 

(2) 右 击 testl 文件 夹 , 在 弹出 的 菜单 中 选择 “共享 和 安全 ”, 或 者 在 右键 菜单 中 选择 
“属性 ”, 在 弹出 的 文件 夹 的 属性 窗口 中 选择 “安全 ”选项 卡 。 可 以 看 出 ,testl 文件 夹 继 承 
了 test 文件 夹 的 访问 权限 ,并 且 不 能 直接 修改 。 

(3) 单 击 “ 高 级 ”按钮 ,弹出 如 图 2-5 所 示 的 “高 级 安全 设置 ”对话 框 。 

在 图 2-5 中 ,有 两 个 复 选 框 ,分 别 如 下 。 

“允许 父 项 的 继承 权限 传播 到 该 对 象 和 所 有 子 对 象 ,包括 那些 在 此 明确 定义 的 项 
目 ” 复 选 框 表示 要 继承 父 项 的 权限 设置 。 

@“ 用 在 此 显示 的 可 以 应 用 到 子 对 象 的 项 目 蔡 代 所 有 子 对 象 的 权限 项 目 ” 复 选 框 表 
示 以 该 文件 夹 的 权限 蔡 代 该 文件 夹 内 子 对 象 的 权限 。 

明确 了 以 上 两 个 复 选 框 的 意义 之 后 ,对 于 testl 文件 夹 , 选 中 “允许 父 项 的 继承 权限 
传播 到 该 对 象 和 所 有 子 对 象 ,包括 那些 在 此 明确 定义 的 项 目 ” 复 选 框 ,这 样 就 可 以 更 改 权 
限 ,弹出 如 图 2-6 所 示 的 信息 提示 框 。 

在 图 2-6 中 有 两 个 按钮 ,分 别 是 “复制 "和 “删除 ”。 


NTFS 文件 系统 


许 CREATOR OWNER 
许 Users (WIN2003-STD-VM\Users) 
许 Users QfIN2003-STD-VWM\Users) 


图 2-5 testl 的 高 级 安全 设置 


@ “复制 ? 按 钮 表示 将 现 有 的 从 父 文件 夹 继承 来 的 权限 复制 一 份 ,保留 给 该 文件 或 文 
件 夹 ,然后 断 开 继承 关系 ,同时 也 可 以 修改 继承 来 的 权限 或 者 再 分 配 权 限 。 

@“ 删 除 ” 按 钮 表示 将 从 父 文件 夹 继承 来 的 所 有 权限 彻底 删除 ,然后 断 开 继承 关系 。 

单 击 “ 复 制 ” 按 钮 ,可 以 看 到 Guest 用 户 对 于 testl 的 权限 ,如 图 2-7 所 示 。 


Adninistrators (TIN2003-STD-WIVAdninistrators) 
BR CREATOR om 
§ 


ssn | 


BVsers WIN2003-sTD-W\Vsers) 


图 2-6 信息 提示 框 图 2-7 更 改 后 的 testl 文件 夹 属性 
对 test2 文件 夹 , 选 择 删除 ,会 将 所 有 的 账户 权限 都 删除 。 然 后 新 建 Guest 账户 的 权 


限 , 如 图 2-8 所 示 。 
对 test2 文件 夹 的 权限 设置 的 结果 ,如 图 2-9 所 示 。 
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test2 的 权限 项 目 


图 口 口 口 口 口 口 图 


图 2-8 test2 文件 夹 高 级 安全 设置 图 2-9 更 改 后 的 test2 文件 夹 属性 


2.3 共享 文件 夹 


要 让 局 域 网 上 的 其 他 用 户 通过 网 络 访问 服务 器 上 的 某 个 文件 夹 , 可 以 将 这 个 文件 夹 
设置 为 “共享 文件 夹 "。 共 享 文件 夹 不 受 文件 系统 的 限制 , 即 NTFS、FAT、FAT32 分 区 
内 的 文件 夹 ,都 可 以 被 设置 为 共享 文件 夹 。 


2.3.1 设置 共享 文件 夹 


用 户 必须 属于 Administrators、Server Operators、Power Users 等 内 置 组 的 成 员 , 才 
有 权利 将 文件 夹 设 为 共享 文件 夹 。 

要 把 一 个 文件 夹 设置 为 共享 文件 夹 , 操 作 步 又 为 : 右 击 文 件 夹 , 然 后 选择 “属性 ”, 就 
会 出 现 属性 对 话 框 , 单 击 “共享 ”选项 卡 , 如 图 2-10 所 示 。 

选中 “共享 此 文件 夹 " 单 选 按钮 , 即 可 将 此 文件 夹 共享 ,还 可 以 进行 其 他 设置 ,如 图 2-11 
所 示 。 

(1) 共享 名 。 共 享 名 默认 与 文件 夹 的 名 称 相 同 ,用户 可 以 自行 修改 该 名 称 。 网 络 上 
的 用 户 就 是 通过 该 共享 名 来 访问 文件 夹 的 内 容 。 

(2) 注释 。 如 果 需 要 的 话 ,可 以 在 此 处 输入 一 些 说 明文 字 。 

(3) 用 户 数 限制 。 用 户 可 以 在 此 处 限制 一 次 最 多 可 以 有 和 多少 个 用 户 与 该 共享 文件 夹 
连接 。 默 认为 “最 多 用 户 ”, 也 就 是 没有 限制 。 

(4) 权限 。 默 认 是 所 有 用 户 都 有 读 取 共 享 文件 夹 的 权限 ,如 果 要 更 改 , 请 单 击 “ 权 限 ” 
按钮 ,其 操作 说 明 与 NTFS 权限 设置 类 似 。 
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NTFS 文件 系统 


图 2-10 “共享 选项 卡 图 2-11 共享 选项 卡 设置 


(5) 缓存 。 用 于 设置 如 何 让 用 户 在 脱 机 时 访问 该 共享 文件 夹 。 

(6) 新 建 共 享 。 用 于 给 一 个 文件 夹 设置 多 个 共享 名 ,只 需要 单 击 “新 建 共享 按钮 后 
输入 新 的 共享 名 及 其 相关 的 设置 即 可 (注意 ,只 有 在 此 文件 夹 是 共享 文件 夹 的 前 提 下 才 会 
出 现 “ 新 建 共 享 " 按 钮 )。 设 置 完 成 后 ,可 以 看 到 文件 夹 上 出 现 了 共享 标志 。 

如 果 要 终止 共享 该 文件 夹 , 则 只 要 选择 “不 共享 此 文件 夹 " 单 选 按钮 即 可 。 


2.3.2 ”客户 端 如 何 访问 共享 文件 夹 


网 络 上 的 用 户 可 以 利用 以 下 4 种 方式 访问 共享 文件 夹 中 的 文件 。 
1. 自动 搜索 共享 文件 夹 


Windows Server 2003 计算 机 具备 自动 在 网 络 上 查找 共享 文件 夹 的 功能 ,对 于 其 他 
系统 ,可 以 打开 “我 的 电脑 ”中 的 “工具 ”菜单 中 的 “文件 夹 选 项 ”, 选 中 “查看 ”选项 卡 , 然 后 
选中 如 图 2-12 所 示 的 选项 。 

设置 后 ,在 “网 上 邻居 ”中 ,用 户 可 以 看 到 共享 文件 并 直接 通过 该 窗口 访问 这 些 共 享 文 
件 夹 。 需 要 注意 的 是 ,系统 只 会 自动 帮助 用 户 在 网 络 上 查找 该 用 户 有 权 访 问 的 共享 文 
件 夹 。 


2. 利用 “网 上 邻居 ” 


以 Windows Server 2003 为 例 , 可 以 通过 “网 上 邻居 ”中 的 “搜索 ”工具 来 搜索 特定 了 
地 址 的 计算 机 ,如 图 2-13 所 示 , 然 后 可 以 打开 共享 文件 夹 。 
如 果 之 前 用 户 登 录 到 计算 机 时 输入 的 用 户 账户 没有 权利 连接 该 计算 机 , 则 系统 会 重 
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人 @O 显示 所 有 文件 和 文件 夷 
口 障 疗 已 知 文件 类 型 的 扩展 名 
回 用 彩色 显示 加 密 或 压缩 的 TPS 文件 


在 标题 栏 显示 完整 路 径 
口 在 单独 的 进程 中 打开 文件 夹 窗口 
口 在 登录 时 还 原 上 一 个 文件 夹 窗口 
在 地 址 栏 中 显示 完整 路 径 
日 


图 2-12 自动 搜索 网 络 文件 夹 和 打印 机 选项 


EEC 


Er 


[92.168.10.8 


您 还 可 以 ，… 


馈 搜索 此 计算 机 的 文件 (5) 
嫩 搜 索 InternetD 


2-13 网 上 邻居 中 的 搜索 命令 


新 要 求 用 户 输入 该 计算 机 内 有 效 的 用 户 账户 与 密码 ,而 用 户 也 可 以 在 此 时 通过 “ 记 住 我 的 
密码 ”选项 ,指定 以 后 都 通过 这 个 用 户 账户 连接 该 计算 机 。 


3. 利用 “映射 网 络 驱动 器 ” 


右 击 “ 我 的 电脑 ”, 选 中 “映射 网 络 驱 动 器 ”, 会 出 现 如 图 2-14 所 示 的 对 话 框 。 在 该 对 
话 框 中 ,各 部 分 的 含义 如 下 。 

(1) 驱动 器 。 此 处 请 选择 要 用 来 连接 共享 文件 夹 的 驱动 器 号 .可 以 使 用 任何 一 个 尚 
未 被 使 用 的 驱动 器 号 。 

(2) 文件 夹 。 请 直接 输入 共享 文件 夹 的 通用 命名 约定 (Universal Naming Convention， 
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NTFS 文件 系统 


HD: | 


区 性 闫 站 \sz 165.10 stest 司 


下 | 
图 2-14 “映射 网 络 驱动 器 ”对话 框 


UNO) 路 径 , 也 就 是 “\\ 计 算 机 名 称 \ 共 享 名 "或者"\\IP 地 址 \ 共 享 名 ”, 例 如 \\192. 168. 
10. 8\test, 其 中 192. 168. 10. 8 为 计算 机 IP 地 址 ,而 test 为 共享 名 (不 是 文件 夹 的 名 称 )。 
或 者 还 可 以 单 击 “ 浏 览 ” 按 钮 完成 连接 的 操作 。 

(3) 登录 时 重新 连接 。 表 示 以 后 每 次 登录 时 ,系统 都 会 自动 利用 指定 的 驱动 器 号 来 
连接 该 共享 文件 夹 。 

单 击 图 2-14 中 的 “完成 ”按钮 后 ,就 可 以 通过 驱动 器 号 访问 共享 文件 夹 内 的 文件 , 同 
时 在 “Windows 资源 管理 器 ”中 会 多 一 个 “Z: 驱动 器 ”。 

图 2-14 对 话 框 中 的 其 余 两 个 选项 如 下 。 

J@ 使 用 其 他 用 户 名 进行 连接 。 系 统 默认 是 利用 登录 时 所 输入 的 用 户 账 号 与 密码 来 
连接 共享 文件 夹 , 若 该 账户 没有 权限 连接 时 , 则 可 以 在 此 处 利用 其 他 有 权限 的 用 户 账户 与 
密码 连接 。 

@ 注册 联机 存储 或 连接 到 网 络 服务 器 。 可 以 通过 此 处 在 “网 上 邻居 ?内 创建 一 个 快 
捷 方 式 ,并且 该 快捷 方式 连接 到 此 共享 文件 夹 ,该 快捷 方式 还 可 以 连接 到 网 站 内 的 文件 夹 
或 者 FTP 服务 器 内 的 文件 夹 。 


4. 利用 “运行 "命令 


用 户 还 可 以 通过 执行 “开始 ”>“ 运 行 ” 命 令 , 然 后 在 “运行 "对 话 框 内 输入 UNC 路 径 
即 可 ,例如 \\192. 168. 10. 8\test, 单 击 “ 确 定 ” 按 钮 后 窗口 中 就 会 显示 该 共享 文件 夹 内 的 
交 人 条。 


2.3.3 共享 权限 和 NTFS 权限 的 共同 作用 


1. 共享 权限 


用 户 必 须 拥 有 适当 的 共享 权限 ,才能 访问 网 络 上 共享 文件 夹 的 内 容 。 表 2-1 列 出 共 
享 权限 的 类 型 与 允许 的 操作 。 默 认 情况 下 ,允许 Everyone 组 * 读 取 ? 共 享 权限 。 
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表 2-1 共享 权限 的 类 型 与 允许 的 操作 

共享 权限 的 类 型 与 允许 的 操作 读 取 修改 完全 控制 
查看 该 共享 文件 夹 内 的 文件 名 称 . 子 文件 夹 名 称 V 
查看 文件 内 的 数据 ,运行 程序 V 
遍历 子 文件 夹 V 
向 该 共享 文件 夹 内 添加 文件 、 子 文件 夹 
修改 文件 内 的 数据 
删除 文件 与 子 文件 夹 
修改 权限 (只 适用 于 NTFS 内 的 文件 和 文件 夹 ) 
取得 所 有 权 ( 只 适用 于 NTFS 内 的 文件 和 文件 夹 ) 


A 


这 | 六 | 人 | 之 | 之 | 六 


| 


注意 ; 共享 文件 夹 权限 仅 对 通过 网 络 访问 该 共享 文件 夹 的 用 户 有 效 。 

与 NTFS 类 似 ,共享 文件 夹 中 的 权限 也 具有 累加 性 ,并 且 拒 绝 权 限 高 于 其 他 权限 。 
如 果 将 共享 文件 夹 复制 到 其 他 的 磁盘 分 区 中 , 则 原始 的 文件 夹 仍 然 保 留 共 享 的 状态 。 但 
是 复制 的 那个 新 的 文件 夹 并 不 会 被 设 为 共享 文件 来。 如 果 将 共享 文件 夹 移动 到 其 他 的 磁 
盘 分 区 中 , 则 该 文件 夹 将 不 再 是 共享 文件 夹 。 


2. 与 NTFS 权限 配合 使 用 


在 共享 文件 夹 上 设置 了 共享 权限 和 NTEFS 权限 后 ,网 络 上 的 用 户 在 访问 这 个 共享 文 
件 夹 时 ,就 要 同时 受到 这 两 类 权限 的 约束 , 即 网 络 上 的 用 户 到 底 有 没有 权限 访问 该 共享 文 
件 夹 的 内 容 , 必 须 由 共享 权限 与 NTFS 权限 共同 决定 ,并 且 有 效 权 限 是 最 严格 的 权限 (也 
就 是 两 种 权限 的 交集 ) 。 

当 用 户 从 本 地 计算 机 直接 访问 文件 夹 的 时 候 , 不 受 共享 权限 的 约束 ,只 受 NTFS 权 
限 的 约束 。 

如 果 和 希望 网 络 上 的 用 户 能 够 完全 控制 共享 文件 夹 ,首先 要 在 共享 权限 中 添加 此 用 户 
(组 ) ,并 设置 完全 控制 的 权限 。 然 后 在 NTFS 权限 设置 中 添加 此 用 户 ( 组 ) ,也 设置 完全 
控制 权限 。 只 有 两 个 地 方 都 设置 了 完全 控制 权限 , 才 最 终 有 完全 控制 权限 。 

例如 ,如 果 用 户 A 对 共享 文件 夹 C:\Test 的 有 效 共 享 权限 为 “ 读 取 ”, 并 且 用 户 对 该 
文件 的 有 效 NTFS 权限 为 “完全 控制 ”, 则 用 户 A 对 C:\Test 的 最 终 有 效 权限 为 两 者 之 中 
最 为 严格 的 “ 读 取 ”。 如 果 用 户 A 直接 从 本 地 登录 ,而 不 是 通过 网 络 登 录 , 则 用 户 A 对 
C:\Test 的 有 效 权限 由 NTFS 权限 决定 ,也 就 是 “完全 控制 ”。 

如 果 两 个 权限 存在 冲突 ,例如 ,共享 权限 为 只 读 ,NTFS 权限 是 写 入 ,那么 最 终 权 限 是 
完全 拒绝 ,因为 最 终 的 权限 是 这 两 个 权限 的 交集 。 
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第 3 章 磁盘 管理 


学 习 目 标 

学 习 完 本 章 后 ,应 该 了 解 Windows Server 2003 磁盘 类 型 ;了 解 基 本 磁盘 与 动态 磁盘 
的 区 别 及 其 特点 ;能 够 运用 Windows Server 2003 磁盘 管理 工具 来 管理 磁盘 ,掌握 磁盘 分 
区 的 创建 与 管理 、 卷 的 创建 与 管理 以 及 如 何 将 基本 磁盘 升级 到 动态 磁盘 ;掌握 常见 的 磁盘 
管理 任务 的 一 些 基 本 操作 方法 。 


3.1 人 磁盘 类 型 


在 Windows Server 2003 中 ,将 磁盘 分 为 基本 磁盘 和 动态 磁盘 两 种 类 型 。 默 认 情 况 
下 ,磁盘 最 初 被 配置 为 基本 磁盘 。 


3.1.1 基本 磁盘 


在 基本 磁盘 能 够 存储 数据 之 前 ,该 磁盘 必须 被 划分 成 一 个 或 多 个 磁盘 分 区 。 磁 盘 分 
区 就 是 把 一 个 基本 物理 磁盘 分 成 若干 部 分 . 称 为 分 区 的 每 部 分 都 能 作为 一 个 独立 单元 
工作 。 

基本 磁盘 最 多 可 以 创建 4 个 主 磁盘 分 区 ,或 最 多 3 个 主 磁盘 分 区 加 上 一 个 扩展 分 区 。 
扩展 分 区 必须 划分 为 一 个 或 多 个 多 辑 驱动 器 以 后 才能 使 用 。 在 一 个 基本 磁盘 上 可 以 创建 
多 达 24 个 逻辑 驱动 器 。 


3.1.2 动态 磁盘 


1. 动态 磁盘 的 类 型 


动态 磁盘 支持 多 种 类 型 的 动态 卷 ,分 别 如 下 。 

1) 简单 卷 

简单 卷 只 能 包含 单个 物理 磁盘 , 即 磁盘 空间 来 自 同 一 个 物理 磁盘 。 只 能 在 动态 磁盘 
上 创建 简单 卷 。 简 单 卷 支持 NTFS、FAT 或 FAT32 文件 系统 。 简 单 卷 比 基本 磁盘 的 分 
区 限制 更 少 , 例 如 简单 卷 没 有 空间 大 小 限制 ,也 没有 对 在 单个 磁盘 上 可 创建 卷 的 数量 的 限 
制 。 如 果 简 单 卷 不 是 系统 卷 或 启动 卷 . 则 可 以 在 同一 磁盘 内 对 其 进行 扩展 ,也 可 扩展 到 其 
他 磁盘 上 。 如 果 跨 多 个 磁盘 扩展 简单 卷 , 则 该 卷 将 成 为 跨 区 卷 。 要 扩展 简单 卷 ,该 卷 必须 
使 用 NTFS 文件 系统 格式 化 或 未 被 格式 化 。 简 单 卷 不 支持 容错 ,但 可 以 被 镜像 。 
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2) 跨 区 卷 

跨 区 卷 由 两 个 或 多 个 动态 磁盘 上 的 可 用 空间 组 成 ,来 自 不 同 磁盘 的 空间 不 必 相 同 ,可 
以 通过 扩展 增加 跨 区 卷 的 容量 ,也 可 以 将 多 个 动态 磁盘 上 的 未 指派 空间 合并 成 一 个 跨 区 
卷 ,并 分 配 一 个 逻辑 驱动 器 号 。 只 能 在 动态 磁盘 上 创建 跨 区 卷 。 写 入 数据 时 ,在 第 一 个 磁 
盘 写 满 后 ,数据 才 会 写 入 跨 区 卷 的 下 一 个 磁盘 中 。 跨 区 卷 可 以 提高 读 的 性 能 ,但 不 支持 容 
错 , 也 不 能 被 镜像 。 

3) 带 区 卷 

带 区 卷 (RAID 0) 由 两 个 或 多 个 动态 磁盘 上 的 未 指派 的 空间 组 成 ,来 自 不 同 磁盘 的 空 
间 必 须 相同 。 只 能 在 动态 磁盘 上 创建 带 区 卷 。 数 据 写 入 时 以 64KB 为 单位 被 平均 、 交 替 
地 写 到 每 个 磁盘 内 , 带 区 卷 读 写 性 能 最 好 ,但 不 提供 容错 。 如 果 带 区 卷 中 的 磁盘 发 生 故 
障 , 则 整个 卷 中 的 数据 都 将 丢失 。 带 区 卷 不 能 被 镜像 或 扩展 。 

4) 镜像 卷 

镜像 卷 (RAID 1) 由 一 个 动态 磁盘 内 的 简单 卷 与 另 一 个 动态 磁盘 内 的 未 指派 空间 组 
成 ,或 是 由 将 两 个 动态 磁盘 上 的 未 指派 的 空间 组 成 ,这 两 个 空间 必须 相同 ,并 分 配 一 个 逻 
辑 驱 动 器 号 。 数 据 同时 向 两 块 磁盘 写 , 提 高 读 的 性 能 ,这 两 个 磁盘 区 域内 将 存储 完全 相同 
的 数据 。 如 果 镜 像 卷 中 的 一 个 动态 磁盘 出 现 故障 ,还 有 另 一 个 磁盘 上 可 以 继续 读 写 数据 ， 
镜像 卷 磁盘 利用 率 为 50% ,提供 容错 ,镜像 卷 不 能 被 扩展 。 

5) RAID-5 卷 

RAID-5 卷 由 3 个 或 更 多 个 动态 磁盘 的 未 指派 空间 组 成 ,来 自 不 同 磁盘 的 空间 必须 
相同 ,然后 分 配 一 个 迎 辑 驱动 器 号 。 数 据 同 时 向 多 块 磁盘 操作 ,提高 读 、 写 性 能 。RAID-5 
卷 是 一 种 带 有 数据 和 奇偶 校 验 带 区 的 容错 卷 。 奇 偶 校 验 是 用 于 在 发 生 故 障 后 重建 数据 的 
计算 值 。 如 果 物 理 磁 盘 的 某 一 部 分 发 生 故 障 , Windows 会 从 其 余 的 数据 和 奇偶 校 验 重新 
创建 发 生 故障 的 那 部 分 磁盘 上 的 数据 ,让 系统 能 够 继续 工作 。RAID-5 卷 提 供 单 点 失败 
容错 ,磁极 利用 率 为 (n 一 1)/nX100% ,RAID-5 卷 无 法 被 镜像 或 扩展 。 


2. 动态 磁盘 的 优点 


与 基本 磁盘 相 比 ,动态 磁盘 的 优点 如 下 。 

(1) 基本 磁盘 可 以 最 多 创建 4 个 主 磁盘 分 区 ,或 最 多 3 个 主 磁盘 分 区 加 上 一 个 扩展 
分 区 。 而 动态 磁盘 没有 卷 数量 的 限制 ,只 要 有 足够 的 磁盘 空间 。 

(2) 在 基本 磁盘 中 ,分 区 是 不 可 跨越 磁盘 的 。 而 动态 磁盘 可 以 将 多 块 磁盘 中 的 空余 
磁盘 空间 扩展 到 同一 个 卷 中 。 

(3) 基本 磁盘 的 读 写 速度 由 硬件 决定 。 而 利用 动态 磁盘 ,可 以 创建 带 区 卷 提 升 磁盘 
的 读 写 效率 。 

(4) 基本 磁盘 没有 容错 性 。 而 利用 动态 磁盘 ,可 以 创建 镜像 卷 或 RAID-5 卷 ,保证 在 
提高 读 写 性 能 的 同时 ,也 提供 容错 。 
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[第 3 章 用 本: 友基 昌 


3.2 人 复 盘 管理 控制 台 


打开 ”磁盘 管理 ”的 操作 步骤 为 : 打开 “计算 机 管理 ”管理 工具 ,展开 “存储 ”一 “磁盘 管 
理 ” 即 可 ,如 图 3-1 所 示 。 


局 文件 四 所 作 W 查看 窗口 D 帮助 如 丁丁 
叶 小 | 因 | 四 | 久 | 症 X 甸 咏 区 加 


而 大 分 区 基本 WFS 状态 良好 (系统 ) 15.99 GE 
| 国 VEVOL_CN 0:) 三 垂 分 区 基本 CDFS 状态 良好 593 晤 
新 


加 卷 下 :) 磁盘 分 区 基本 NTFS 状态 良好 4.67 GB 


图 3-1 打开 “计算 机 管理 ”窗口 


利用 磁盘 管理 控制 台 , 可 以 查看 文件 系统 类 型 .运行 状态 、 容 量 等 ,也 可 以 进行 格式 化 
分 区 、 更 改 驱 动 器 名 、 将 基本 磁盘 转换 为 动态 磁盘 等 操作 。 


3.3 分 区 的 创建 与 管理 


1. 创建 磁盘 分 区 


假设 要 创建 一 个 主 磁盘 分 区 ,操作 步骤 如 下 。 

(1) 在 “计算 机 管理 ”对 话 框 中 ,选择 “磁盘 管理 ”。 

(2) 右 击 没有 创建 磁盘 分 区 的 磁盘 ,在 弹出 的 快捷 菜单 中 选择 “新 建 磁盘 分 区 ”, 弹 出 
“欢迎 使 用 新 建 磁盘 分 区 向 导 ?”。 

(3) 在 “欢迎 使 用 新 建 磁盘 分 区 向 导 ” 中 选择 * 主 磁盘 分 区 ”, 单 击 “ 下 一 步 "按钮 。 

(4) 设置 主 磁盘 分 区 的 大 小 ,并 指派 驱动 器 号 。 

(5) 接 下 来 选择 是 否 要 对 其 进行 格式 化 。 如 果 需 要 格式 化 ,要 求 设 定 文件 系统 类 型 、 
分 配 单位 大 小 并 设置 卷 标 。 


2. 格式 化 磁盘 分 区 


要 格式 化 磁盘 分 区 ,操作 步骤 如 下 。 
(1) 在 “计算 机 管理 ?对 话 框 的 右边 选择 要 格式 化 的 磁盘 分 区 , 右 击 该 磁盘 分 


多 
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“格式 化 ”菜单 项 ,如 图 3-2 所 示 。 


EEELSE 


( 奈 统 ) 9.77 全 794 全 81% 
19.53 6B 19.46 68 99% 
19.53 6B 19.47 6B 99% 
14.65 6B 14.58 6B 99% 
16.51 GB 16.44 6B 99% 


图 3-2 “计算 机 管理 ”窗口 


(2) 单 击 “ 格 式 化 ”选项 ,弹出 “格式 化 ”对 话 框 ,根据 要 求 输入 卷 标 、 选 择 文件 系统 和 
分 配 单位 大 小 ,并 根据 实际 需要 选择 “执行 快速 格式 化 ”和 “启用 文件 和 文件 夹 压缩 " 复 选 
框 。 如 图 3-3 所 示 , 单 击 “ 确 定 ” 按 钮 。 

(3) 单 击 “ 确 定 ” 按 钮 ,弹出 “警告 信息 ”, 如 图 3-4 所 示 。 单 击 “ 确 定 ” 按 钮 完成 格式 化 
操作 , 单 击 “取消 ”按钮 便 可 取消 该 磁盘 分 区 的 格式 化 操作 。 


图 3-3 “格式 化 ?对话 框 图 3-4 “格式 化 "警告 信息 


3.4 卷 的 创建 与 管理 
3.4.1 从 基本 磁盘 转换 为 动态 磁盘 


1. 转换 前 的 注意 事项 


将 基本 磁盘 转换 到 动态 磁盘 之 前 ,需要 注意 的 事项 如 下 。 
(1) 要 执行 转换 ,用 户 必须 是 本 地 计算 机 Backup Operators 组 或 Administrators 组 
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的 成 员 , 或 者 必须 被 委派 了 适当 的 权限 。 

(2) 将 基本 磁盘 转换 为 动态 磁盘 后 ,如 果 又 想 使 用 基本 磁盘 的 分 区 , 则 必须 先 将 数据 
备份 到 另 一 个 卷 上 ,删除 动态 磁盘 上 的 所 有 动态 卷 后 ,再 使 用 "转换 成 基本 磁盘 ?命令 。 

(3) 在 转换 磁盘 之 前 ,请 关闭 这 些 磁盘 上 运行 的 所 有 程序 。 

(4) 将 基本 磁盘 转换 为 动态 磁盘 后 ,基本 磁盘 上 全 部 现 有 分 区 都 将 变 为 动态 磁盘 上 
的 简单 卷 。 

(5) 不 要 将 包含 Windows 2000、Windows XP Professional 或 Windows Server 2003 
多 操作 系统 的 磁盘 转换 为 动态 磁盘 。 因 为 这 样 只 能 启动 当前 启动 的 系统 ,无 法 再 启动 第 
三 个 系统 。 

(6) 便携 式 计算 机 、 可 移动 磁盘 、 使 用 通用 串 行 总 线 (USB) 或 IEEE 1394( 也 称 为 “ 火 
线 ”) 接 口 的 可 分 离 磁盘 ,以 及 连接 到 共享 小 型 计算 机 系统 接口 (Small Computer System 
Interface,SCSI) 总 线 的 磁盘 并 不 支持 动态 磁盘 。 

(7) 不 能 将 已 连接 到 共享 SCSI 或 光纤 通道 总 线 的 群集 磁盘 转化 为 动态 磁盘 (群集 服 
务 只 支持 基本 磁盘 ) 。 


2. 将 基本 磁盘 转换 为 动态 磁盘 


要 将 基本 磁盘 转换 为 动态 磁盘 ,操作 步骤 如 下 。 

(1) 右 击 “我 的 电脑 ”在 弹出 的 快捷 菜单 中 选择 “管理 ”后 ,会 出 现 “ 计 算 机 管理 ”对 
(2) 右 击 需要 转换 的 磁盘 ,在 弹出 的 快捷 菜单 中 选择 “转换 到 动态 磁盘 ”, 如 图 3-5 
所 示 。 


局 文件 四 折 作 查看 WD 究 口 如 帮助 中 
守 外 | 全 | 四 |@| 四 密 加 


人 [容量 ” [ 空 亲 全 间 |% 空间 | 容错 | 天 

状态 良好 (系统 ) 9.77 多 7.%G 61% 和 理 

状态 良好 19.53 68 19.4898 99% 理 
19.53 8 19.53 68 100% 否 
14.65 G8 14.65 G8 100% 和 否 0% 


性 能 日 志和 警报 | 后 ot) 丙 台 分 区 基本 18.51 G8 16.51 68 100% 和 理 0% 
设备 管理 器 


图 3-5 “转换 到 动态 磁盘 ?菜单 


(3) 出 现 如 图 3-6 所 示 的 “转换 为 动态 磁盘 ?对 话 框 后 ,选中 需要 转换 的 磁盘 , 单 击 
“确定 ”按钮 ,出 现 如 图 3-7 所 示 的 对 话 框 后 ,选中 要 转换 的 磁盘 ,再 单 击 “ 转 换 ” 按 钮 , 即 可 


2 一 一 一 一 一 一 一 
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开始 转换 。 


要 转换 的 磁 乱 


转换 为 动态 磁盘 


图 3-6 “转换 为 动态 磁盘 "对 话 框 图 3-7 “要 转换 的 磁盘 "对 话 框 

(4) 接 下 来 按照 系统 提示 继续 操作 ,转换 完成 后 需要 重新 启动 计算 机 ,以 便 完成 转换 
工作 。 
3.4.2 创建 .扩展 简单 卷 

简单 卷 是 动态 磁盘 中 的 基本 单位 ,与 基本 磁盘 中 的 主 磁盘 分 区 相当 。 可 以 使 用 一 个 
动态 磁盘 内 的 未 指派 空间 来 创建 简单 卷 ,并 可 以 扩展 简单 卷 。 

1. 创建 简单 卷 


创建 简单 卷 的 操作 步骤 为 如 下 。 

(1) 右 击 一 块 未 指派 的 空间 ,在 弹出 的 快捷 菜单 中 选择 “新 建 卷 ”。 

(2) 出 现 “ 新 建 卷 向 导 ” 对 话 框 后 ,选择 要 创建 的 卷 的 类 型 为 “简单”, 然后 单 击 " 下 一 
步 ” 按 钮 ,如 图 3-8 所 示 。 


图 3-8 新 建 简单 卷 
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按钮 。 


3-9 设置 简单 卷 大 小 


(4) 出 现 如 图 3-10 所 示 的 对 话 框 时 ,指派 一 个 驱动 器 号 代表 该 简单 卷 ,然后 单 击 下 
一 步 ” 按 钮 。 


3-10 ”指派 简单 卷 的 驱动 器 号 


(5) 在 图 3-11 所 示 的 对 话 框 中 进行 设置 ,其 中 各 项 的 含义 分 别 如 下 。 

@ 文件 系统 。 可 以 选择 将 其 格式 化 为 FAT.FAT32 或 NTFS 的 文件 系统 。 

@ 分 配 单位 大 小 。 分 配 单位 是 磁盘 的 最 小 访问 单位 。 分 配 单位 的 大 小 必须 适当 ,过 
大 或 过 小 都 不 好 。 除 非 有 特殊 的 需求 ,否则 此 处 建议 选用 默认 值 ,系统 会 根据 此 分 区 的 大 
小 自动 设置 最 适当 的 分 配 单位 大 小 。 

@ 卷 标 。 为 此 磁盘 分 区 设置 一 个 名 称 。 

@ 执行 快速 格式 化 。 它 只 会 重新 创建 FAT、FAT32 或 NTFS 格式 ,但 不 会 检查 是 
和 否 有 坏 扇 区 。 在 选择 该 选项 之 前 ,需要 先 确 定 磁盘 内 没有 坏 扇 区 ,才能 选择 快速 格式 化 。 
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@ 启用 文件 和 文件 压缩 。 将 该 磁盘 分 区 设 为 “压缩 磁盘 ”, 以 后 添加 到 该 磁盘 分 区 中 
的 文件 和 文件 夹 都 会 被 自动 压缩 。 
设置 完成 后 ,在 图 3-11 中 单 击 “下 一 步 ” 按 钮 。 


图 3-11 设置 简单 卷 的 格式 化 


(6) 出 现 “ 正 在 完成 新 建 卷 向 导 ” 对 话 框 后 , 单 击 “ 完 成 ”按钮 ,系统 就 会 完成 该 卷 的 创 
建 ,如 图 3-12 所 示 。 


图 3-12 完成 新 建 简单 卷 


2. 简单 卷 的 扩展 


要 扩展 简单 卷 ,需要 注意 的 是 : 

(1) 仅 能 扩展 未 格式 化 或 使 用 NTFS 文件 系统 格式 化 的 卷 ,不 能 扩展 用 FAT 或 
FAT32 格式 化 的 卷 。 

(2) 不 能 扩展 系统 卷 .启动 卷 . 带 区 卷 、 镜 像 卷 或 RAID-5 卷 。 

(3) 只 要 具有 可 用 磁盘 空间 ,就 可 以 扩展 不 是 系统 或 启动 卷 的 简单 卷 或 扩展 卷 。 

(4) 如 果 将 Windows 2000 升级 到 Windows XP Professional 或 Windows Server 
2003 , 则 无 法 扩展 最 初 在 Windows 2000 上 作为 基本 卷 创建 的 、 然 后 转换 为 动态 卷 的 简单 
卷 或 跨 区 卷 。 

扩展 卷 的 操作 步骤 如 下 。 
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(1) 在 “计算 机 管理 ”对 话 框 中 ,选中 “磁盘 管理 ”。 
(2) 右 击 要 扩展 的 简单 卷 或 跨 区 卷 , 然 后 单 击 “ 扩 展 卷 ”, 并 按 屏幕 上 的 指示 操作 即 
可 ,可 参照 上 述 “ 创 建 卷 ” 时 的 操作 步骤 。 


3.4.3 ”创建 跨 区 卷 . 带 区 卷 .镜像 卷 和 RAID-5 卷 


跨 区 卷 . 带 区 卷 .镜像 卷 和 RAID-5 卷 的 创建 与 基本 卷 的 创建 过 程 类 似 , 只 是 在 图 3-8 
所 示 的 对 话 框 中 选择 不 同 卷 的 类 型 即 可 。 

(1) 在 创建 跨 区 卷 之 前 ,需要 注意 的 是 : 

J@ 跨 区 卷 的 每 个 成 员 的 容量 大 小 可 以 不 同 。 

@ 跨 区 卷 的 成 员 中 不 可 以 包含 “系统 卷 " 与 “引导 卷 ”。 

@ 整个 跨 区 卷 是 一 体 的 ,无 法 独立 使 用 其 中 任何 一 个 成 员 ,除非 将 整个 跨 区 卷 删 除 。 

(2) 在 创建 带 区 卷 之 前 ,需要 注意 的 是 : 

@D 带 区 卷 的 每 个 成 员 的 容量 大 小 必须 相同 。 

Q@ 带 区 卷 的 成 员 不 可 以 包含 系统 卷 与 引导 卷 。 

@ 带 区 卷 一 旦 被 创建 好 后 ,就 无 法 再 扩展 ,除非 将 其 删除 后 再 重建 。 

@ 整个 带 区 卷 是 一 体 的 ,无 法 独立 使 用 其 中 任何 一 个 成 员 ,除非 将 整个 带 区 卷 删除 。 

(3) 在 创建 镜像 卷 之 前 ,需要 注意 的 是 : 

J@D 镜像 卷 的 成 员 只 有 2 个 ,并且 它 们 必须 是 位 于 不 同 的 动态 磁盘 内 。 用 户 可 以 选择 
一 个 简单 卷 与 一 个 未 指派 的 空间 ,或 者 两 个 未 指派 的 空间 组 合成 镜像 卷 。 

@ 如 果 选 择 将 一 个 简单 卷 与 一 个 未 指派 空间 组 成 镜像 卷 , 则 系统 在 创建 镜像 卷 的 过 
程 中 ,会 将 简单 卷 内 的 现 有 数据 复制 到 另 一 个 成 员 中 。 

@ 组 成 镜像 卷 的 2 个 卷 的 容量 大 小 必须 相同 。 

@ 组 成 镜像 卷 的 成 员 中 ,可 以 包含 系统 卷 与 引导 卷 。 

@ 镜像 卷 一 旦 被 创建 好 后 ,就 无 法 再 被 扩展 。 

只 有 Windows Server 2003、Windows Server 2000 系列 产品 才 支持 镜像 卷 。 

@ 整个 镜像 卷 是 一 体 的 ,如 果 要 独立 使 用 其 中 任何 一 个 成 员 , 则 必须 先 中 断 镜像 关 
系 、 删 除 镜像 或 删除 该 镜像 卷 。 

@ 由 于 两 个 磁盘 内 存储 重复 的 数据 ,因此 镜像 卷 的 磁盘 空间 使 用 率 只 有 50%。 

(4) 在 创建 RAID-5 卷 之 前 ,需要 注意 的 是 : 

@D RAID-5 卷 的 每 个 成 员 的 容量 大 小 必须 相同 。 

@ RAID-5 卷 的 成 员 不 可 以 包含 “系统 卷 " 和 “启动 卷 ”。 

@@ RAID-5 卷 的 磁盘 空间 有 效 使 用 率 为 (n 一 1) /n,n 为 磁盘 的 数目 。 例 如 ,如 果 利 用 
5 个 磁盘 来 创建 RAID-5 卷 , 则 必须 利用 1/5 的 磁盘 空间 来 存储 奇偶 校 验 数据 ,因此 磁盘 
空间 的 有 效 使 用 率 为 4/5。 

@ RAID-5 卷 一 旦 被 创建 好 后 ,就 无 法 再 被 扩展 。 

@ 整个 RAID-5 卷 是 一 体 的 ,无 法 独立 使 用 其 中 任何 一 个 成 员 ,除非 将 整个 RAID-5 
卷 删 除 。 
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3.5 常见 的 磁盘 管理 任务 
3.5.1 查看 磁盘 的 状态 和 属性 


要 在 本 地 计算 机 上 查看 磁盘 的 状态 和 属性 ,用 户 必须 是 本 地 计算 机 Backup Operators 
组 或 Administrators 组 的 成 员 ,或 者 被 委派 了 适当 的 权限 。 要 查看 磁盘 的 状态 和 属性 ,操作 
步骤 如 下 。 

(1) 打开 “计算 机 管理 (本 地 )”。 

(2) 在 控制 台 树 中 ,选择 “计算 机 管理 (本 地 )” 一 “存储 ”一 “磁盘 管理 ”。 

(3) 在 图 形 视图 或 磁盘 列表 中 , 右 击 磁盘 ,选择 * 属 性”。 


3.5.2 修复 、 删 除 分 区 和 卷 


1. 修复 分 区 和 卷 


镜像 卷 与 RAID-5 卷 都 具备 容错 的 功能 ,如 果 成 员 中 有 一 个 磁盘 出 现 故障 ,系统 还 能 
够 正常 工作 ,但 丧失 容错 的 功能 ,此 时 应 该 尽快 地 修复 故障 磁盘 ,以 便 继续 提供 容错 的 
功能 。 

1) 镜像 卷 的 修复 

假设 磁盘 1 和 磁盘 2 中 存在 镜像 卷 ,如 果 磁 盘 2 中 的 镜像 卷 出 现 故障 ,此 时 ,应 该 删 
除 磁盘 2 上 对 应 的 磁盘 1 上 的 镜像 卷 ,然后 重新 为 磁盘 1 的 镜像 卷 “ 添 加 镜像 ”。 在 此 ,以 
图 3-13 磁盘 阵列 (已 建立 简单 卷 . 跨 区 卷 . 带 区 卷 ,镜像 卷 和 RAID-5 卷 ) 为 例 来 操作 镜像 
卷 的 修复 。 


GT:) 和 带 区 着 GE:) /人 镇 便 卷 (L:) |】 ATID-5 关 四: 
5.00 GB NFS (oo am ms ; 9 GB JTFS 
态 良 好 DS leh 


图 3-13 ”磁盘 阵列 


在 图 3-13 中 可 以 看 出 ,磁盘 1 的 镜像 卷 “L: “的 镜像 为 磁盘 2 的 镜像 卷 “L: ”, 假 设 
磁盘 2 上 的 镜像 卷 *L: ”已 出 现 故障 ,在 该 卷 上 右 击 ,在 弹出 的 快捷 菜单 中 单 击 * 删 除 镜 
像 " 按 钮 ,弹出 如 图 3-14* 删 除 镜 像 ”对 话 框 。 

在 图 3-14“ 删 除 镜像 对话 框 中 ,选中 要 删除 的 镜像 卷 所 在 的 磁盘 ,然后 单 击 " 删 除 镜 
像 ”按钮 ,此 时 会 弹出 对 话 框 询问 是 否 确实 要 删除 镜像 卷 , 单 击 “是 按钮。 删除 该 故障 磁 
盘 镜 像 卷 后 ,结果 如 图 3-15 所 示 。 
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图 3-14 “删除 镜像 "对 话 框 


图 3-15 ”删除 镜像 后 的 结果 


在 图 3-15 中 可 以 发 现 磁 盘 1 上 的 镜像 卷 的 颜色 已 发 生变 化 了 ,这 就 说 明 磁 盘 1 上 的 
镜像 卷 L: "已 不 存在 镜像 。 为 了 保证 磁盘 1 的 镜像 卷 *L: ”的 修复 功能 ,可 以 为 该 镜像 
卷 “ 添 加 镜像 ”。 

在 磁盘 1 中 的 镜像 卷 上 右 击 ,在 弹出 的 快捷 菜单 中 单 击 “ 添 加 镜像 ”命令 ,弹出 如 图 3-16 
所 示 的 * 添 加 镜像 "对话 框 ,选中 磁盘 2, 然 后 单 击 “ 添 加 镜像 ”按钮 。 


3-16 “添加 镜像 "对话 框 


磁盘 1 的 镜像 卷 *L: “添加 镜像 成功 后 的 结果 如 图 3-17 所 示 。 此 时 ,磁盘 1 的 镜 
像 卷 “L: ”会 与 磁盘 2 的 镜像 卷 *L: “进行 “重新 同步 "。 待 “重新 同步 完成 后 ,磁盘 1 的 
镜像 卷 “L: ”的 镜像 卷 添加 也 就 完成 了 。 
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第 重大 (L:) LB 】 | 简便 卷 。 (1:) 
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图 3-17 “添加 镜像 ”后 的 结果 
当 磁 盘 1 或 磁盘 2 的 镜像 卷 出 现 故障 后 ,就 可 以 使 用 其 中 一 个 没有 故障 的 镜像 卷 来 
添加 镜像 ,这 也 正体 现 了 镜像 卷 的 修复 功能 。 
2) RAID-5 卷 的 修复 
以 图 3-18 磁盘 阵列 为 例 ,说 明 如 何 修 复 RAID-5 卷 , 以 便 恢复 其 容错 功能 。 
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图 3-18 磁盘 阵列 


假设 其 中 成 员 中 的 磁盘 3 出 现 故障 , 则 RAID-5 的 修复 步骤 如 下 。 

(1) 将 出 现 故 障 的 磁盘 3 从 计算 机 内 拔 出 来 。 

(2) 将 新 的 磁盘 安装 到 计算 机 内 。 

(3) 启动 计算 机 后 ,运行 “计算 机 管理 ”。 

(4) 如 果 出 现 * 欢 迎 使 用 初始 化 和 转换 磁盘 向 导 ? 对 话 框 时 , 则 单 击 * 下 一 步 ? 按 钮 , 否 
则 直接 跳 到 第 (7) 步 。 

(5) 在 如 图 3-19 所 示 的 对 话 框 中 ,选择 要 初始 化 的 磁盘 ,然后 选择 要 转换 为 动态 磁 
盘 的 磁盘 。 

(6) 出 现 * 完 成 初始 化 和 转换 磁盘 向 导 ? 对 话 框 时 ,请 单 击 “完成 按钮。 

(7) 出 现 如 图 3-20 所 示 的 画面 ,其 中 的 磁盘 3 为 新 安装 的 磁盘 ,而 原先 属于 RAID-5 
卷 的 故障 磁盘 3 被 显示 在 画面 的 最 下 方 (上 面 有 “丢失 ”两 个 字 )。 接 下 来 ,在 图 3-21 所 示 
有 “失败 的 重复 ”字样 的 任何 一 个 “K: ”磁盘 右 击 , 在 弹出 的 快捷 菜单 中 选择 “修复 卷 ”。 
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图 3-19 磁盘 初始 化 和 转换 向 导 


图 3-21 RAID-5 卷 “修复 卷 " 命 令 


(8) 在 如 图 3-22 所 示 的 对 话 框 中 .选择 一 块 磁盘 (例如 磁盘 3) , 它 将 被 用 来 取代 原先 
已 损毁 的 磁盘 ,以 便 重 新 创建 RAID-5 卷 。 
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图 3-22 “恢复 RAID-5 卷 " 对 话 框 


(9) 系统 会 利用 RAID-5 卷 中 其 他 正常 磁盘 的 内 容 , 将 数据 重建 到 新 磁盘 内 (同步 )， 
等 “重新 同步 "完成 后 ,如 图 3-23 所 示 , 图 中 的 *K: "又 恢复 了 正常 的 RAID-5 卷 。 


图 3-23 恢复 RAID-5 卷 后 的 结果 


(10) 如 图 3-24 所 示 , 右 击 标记 为 “丢失 ”的 磁盘 ,在 弹出 的 快捷 菜单 中 选择 "删除 磁 
盘 ” 命 令 将 这 个 磁盘 删除 。 


3-24 “删除 磁盘 ”命令 
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2. 删除 分 区 和 卷 


删除 分 区 和 卷 的 操作 步骤 如 下 。 

(1) 打开 “计算 机 管理 (本 地 )” 控 制 台 ,展开 “计算 机 管理 (本 地 )” 一 “存储 ”一 “磁盘 
管理 ”。 

(2) 在 图 形 视图 或 磁盘 列表 中 , 右 击 所 要 删除 的 磁盘 分 区 或 卷 ,选择 “删除 思 辑 驱动 
器" 菜单 项 ,在 弹出 的 对 话 框 中 , 单 击 “ 是 ”按钮 即 可 。 


3.5.3 添加 新 磁盘 


如 果 添 加 了 一 块 新 的 磁盘 ,在 重新 启动 计算 机 时 ,系统 就 会 自动 检测 到 这 块 新 磁盘 ， 
并 且 自 动 更 新 磁盘 系统 的 状态 ,这 块 磁盘 也 会 出 现在 “磁盘 管理 ”的 画面 中 ,而 且 在 运行 
“磁盘 管理 ?时 ,系统 会 自动 启动 “欢迎 使 用 初始 化 和 转换 磁盘 向 导 ”, 以 便 初始 化 这 块 新 的 
磁盘 。 

如 果 在 “磁盘 管理 "画面 中 看 不 到 这 块 新 安装 的 磁盘 , 则 选择 “操作 ”一 “重新 扫描 
磁盘 ”。 


3.5.4 管理 驱动 器 号 和 路 径 


1. 管理 驱动 器 号 


要 更 改 驱 动 器 号 或 磁盘 路 径 时 ,可 以 右 击 磁盘 分 区 ,选中 * 更 改 驱动 器 号 和 路 径 ”, 出 
现 的 “更 改 驱动 器 号 和 路 径 ? 对 话 框 如 图 3-25 所 示 。 
单 击 “ 更 改 ” 按 钮 ,出 现 如 图 3-26 所 示 的 对 话 框 。 


图 3-25 “更 改 驱动 器 号 和 路 径 " 对 话 框 图 3-26 ”指派 驱动 器 号 


指派 新 的 驱动 器 号 为 Z, 单 击 “ 确 定 ” 按 钮 ,如 图 3-27 所 示 。 
2. 指派 驱动 器 路 径 


如 果 为 新 建 的 磁盘 分 区 指派 驱动 器 路 径 ,操作 步骤 如 下 。 
(1) 在 磁盘 上 选择 一 个 空闲 的 磁盘 分 区 。 右 击 该 磁盘 分 区 ,选择 “新 建 逮 辑 驱 动 器 ” 
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菜单 项 ,如 图 3-28 所 示 。 


图 3-28 ”新建 逻辑 驱动 器 


(2) 在 弹出 的 “新 建 迎 辑 驱动 器 "对 话 框 中 , 单 击 “ 下 一 步 " 按 钮 。 弹 出 “新 建 磁 盘 分 区 
向 时” 对话 框 ,如 图 3-29 所 示 ,选择 分 区 类 型 后 , 单 击 下 一 步 ” 按 钮 。 


新 建 向 导 


3-29 “新 建 磁盘 分 区 向 导 ” 对 话 框 


(3) 在 弹出 的 “新 建 磁 盘 分 区 向 导 ” 对 话 框 中 ,为 磁盘 指定 分 区 大 小 , 单 击 “ 下 一 步 ” 
按钮 。 

(4) 在 “新 建 磁盘 分 区 向 导 ” 对 话 框 中 ,指派 驱动 器 号 和 路 径 。 选 择 * 装 入 以 下 空白 
NTFS 文 件 夹 中 ” 单 选项 ,如 图 3-30 所 示 , 单 击 “ 浏 览 ” 按 钮 。 

(5) 在 “浏览 驱动 器 路 径 ” 对 话 框 中 ,在 支持 驱动 器 路 径 的 卷 中 选择 一 个 空 文件 夹 ,也 
可 以 单 击 “ 新 建文 件 夹 ”按钮 在 选择 的 支持 驱动 器 路 径 的 卷 中 创建 一 个 空白 文件 夹 。 创 建 
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完成 后 的 情况 如 图 3-31 所 示 , 单 击 “ 确 定 ” 按 钮 。 


新 建 磁 盘 分 区 向 导 


号 和 路 径 
为 了 便于 访问 ， 可 以 给 磁盘 分 区 指派 红 动 器 号 或 驱动 器 路 径 。 


图 3-31 “浏览 驱动 器 路 径 ” 对 话 框 


(6) 在 “新 建 磁盘 分 区 向 导 ? 对 话 框 中 ,指定 格式 化 分 区 的 一 些 参数 设置 ,如 图 3-32 
所 示 。 单 击 “ 下 一 步 "按钮 。 


图 3-32 ”新建 磁盘 分 区 格式 化 设置 
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(7) 在 弹出 的 “新 建 磁盘 分 区 向 导 ? 对 话 框 中 , 列 出 了 该 新 建 磁盘 分 区 的 一 些 设置 ,如 
图 3-33 所 示 。 单 击 “ 完 成 ”按钮 即 可 。 


正在 完成 新 建 磁盘 分 区 向 导 


已 成 功 完成 新 建 磁盘 分 区 向 导 . 


已 选择 下 列 设置 


要 关闭 此 向 导 ， 请 单 击 “ 完 成 ”。 


ww | 
图 3-33 “新 建 磁盘 分 区 向 导 " 对 话 框 
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第 4 章 Active Directory 服务 


学 习 目 标 

学 习 完 本 章 后 ,能 够 了 解 Active Directory 的 概念 、 功 能 以 及 Active Directory 对 象 的 
类 型 ,掌握 如 何 配 置 网 络 中 的 域 控制 器 ,理解 Active Directory 的 逻辑 结构 ( 域 .组织 单位 、 
目录 树 、 目 录 林 和 信任 )、 物 理 结 构 ( 域 控制 器 、 站 点 ) ,掌握 在 Active Directory 中 发 布 资源 
的 方法 。 


4.1 Active Directory 概述 


Windows Server 2003 网 络 中 提供 的 Active Directory 服务 构建 了 网 络 资源 的 架构 ， 
提供 了 组 织 、 管 理 和 访问 这 些 网 络 资源 (例如 用 户 、 计 算 机 、 共 享 文件 夹 和 打印 机 等 ) 的 功 
能 ,还 提供 了 集中 管理 Windows Server 2003 网 络 的 功能 ,这 意味 着 管理 员 可 以 在 某 个 位 
置 集中 管理 整个 网 络 。Aective Directory 还 支持 管理 员 对 Active Directory 对 象 进行 控制 
委派 管理 ,这 使 得 管理 员 能 将 对 Active Directory 对 象 或 属性 的 管理 权限 分 配给 某 个 特定 
的 用 户 组 。 

Active Directory 存储 了 整个 网 络 的 资源 信息 ,并 简化 了 用 户 查 找 , 管 理 和 访问 这 些 
网 络 资源 的 操作 ,这 些 网 络 资源 包括 用 户 计算机、 共享 文件 夹 和 打印 机 等 。 


4.1.1 Active Directory 概念 


本 书 中 的 Active Directory 是 指 Windows Server 2003 网 络 中 的 目录 服务 。 目 录 服 
务 用 于 存储 网 络 资源 信息 并 使 用 户 和 应 用 程序 能 够 访问 这 些 资 源 。 目 录 服务 提 供 了 统一 
的 命名 描述、 查找 ,访问 和 管理 网 络 资源 的 方法 ,还 为 网 络 资源 提供 了 安全 保障 。 

Active Directory 使 得 网 络 的 拓扑 结构 和 协议 对 用 户 是 透明 的 ,从 而 使 网 络 上 的 用 户 
只 需要 一 个 单一 的 账户 就 可 以 访问 任何 资源 (例如 打印 机 ) ,而 无 须知 道 该 资源 的 位 置 以 
及 它 是 如 何 连接 到 网 络 的 。Active Directory 允许 用 户 只 登录 一 次 就 能 够 访问 在 Active 
Directory 上 的 所 有 资源 。 

Active Directory 被 划分 成 区 域 进行 管理 ,这 使 其 可 以 存储 大 量 的 对 象 。 基 于 这 种 结 
构 ,Active Directory 可 以 随 着 企业 规模 的 扩大 而 扩展 。 

Active Directory 支持 集中 式 管理 。 可 以 将 系统 配置 信息 .应 用 程序 信息 和 用 户 配置 
文件 的 位 置信 息 存 储 在 Active Directory 中 。 当 与 组 策略 结合 使 用 时 ,Active Directory 
使 管理 员 能 够 从 网 络 的 核心 位 置 使 用 统一 的 管理 界面 对 分 布 于 各 处 的 成 员 计算 机 、 网 络 
服务 和 应 用 程序 进行 管理 。 


一 些 
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4.1.2 Active Directory 对 象 


Active Directory 对 象 表示 网 络 中 的 资源 ,这 些 资源 包括 用 户 ( 组 )、 计算机、 共享 文件 
夹 和 打印 机 等 。 网 络 中 所 有 的 服务 器 、 域 和 站 点 也 可 以 被 看 作对 象 。 

当 创 建 对 象 时 ,用 于 描述 对 象 特征 的 属性 信息 将 被 存储 在 活动 目录 中 ,例如 ,用 于 描 
述 用 户 对 象 的 属性 有 用 户 登录 名 称 、 姓 、 名 ,电话 .电子 邮 件 等 。 通 过 指定 对 象 的 具体 属 
性 ,可 以 在 Active Directory 查找 到 相应 的 对 象 。 例 如 ,可 以 通过 指定 用 户 对 象 的 用户 登 
录 名 称 ” 属 性 来 查找 符合 条 件 的 用 户 。 

Active Directory 中 的 某 些 特定 对 象 (例如 域 、 容 器 和 组 织 单位 ) 可 以 包含 其 他 对 象 。 
可 以 将 这 些 域 .容器 和 组 织 单位 组 织 成 一 个 结构 层次 ,而 那些 代表 网 络 资源 的 对 象 , 例 如 
用 户 、 计 算 机 、 组 ,共享 文 件 夹 和 打印 机 等 , 则 根据 其 不 同 的 管理 方式 放 入 相应 的 结构 层 
次 中 。 

表 4-1 列 出 了 一 些 最 常用 的 Active Directory 对 象 。 

表 4-1 常用 的 Active Directory 对 象 
对 象 类 型 描 述 

包含 域内 用 户 信息 的 对 象 ,包含 用 户 登录 名 、 密 码 等 信息 ,还 包含 可 选 字 段 ,如 姓 、 名 、 显 
示 名 称 、 电 话 号 码 、 电 子 邮 件 和 网 页 等 
联系 人 与 企业 有 联系 的 人 员 ,包含 可 选 字段 ,如 电话 号 码 、 电 子 邮 件 、 地 址 和 主页 等 信息 
组 包含 一 组 用 户 .计算 机 和 \ 或 其 他 组 对 象 的 对 象 , 使 用 该 对 象 可 以 简化 管理 
指向 计算 机 上 共享 文件 夹 的 指针 对 象 ,包含 数据 的 位 置 而 不 是 数据 本 身 。 在 Active 
Directory 中 发 布 共享 文件 夹 的 同时 ,创建 了 一 个 指向 该 共享 文件 夹 的 指针 对 象 
指向 计算 机 上 打印 机 的 指针 对 象 。 如 果 计算 机 不 是 域 的 成 员 , 则 必须 手工 发 布 该 计算 
机 上 的 打印 机 。 在 域 中 计算 机 上 安装 的 打印 机 会 自动 到 发 布 到 Active Directory 中 
计算 机 包含 域内 计算 机 信息 的 对 象 
包含 域 控制 器 信息 的 对 象 ,包括 一 些 可 选 描述 信息 ,如 DNS 名 、Windows Server 2000 
以 前 版 本 的 计算 机 名 ,操作 系统 版 本 、 域 控制 器 位 置 和 管理 者 的 信息 等 


包含 其 他 对 象 (如 用 户 ,组 ,计算 机 和 其 他 组 织 单位 ) 的 容器 对 象 。 使 用 组 织 单位 (OU) 
可 以 在 Active Directory 中 建立 层次 结构 


用 户 


4.2 配置 域 控制 器 


如 果 要 构建 域 结构 的 Windows Server 2003 网 络 , 则 网 络 上 必须 有 域 控制 器 。 域 控 
制 器 是 一 台 运 行 Windows Server 2003 并 存储 Active Directory 的 计算 机 。 域 控制 器 通 
过 Active Directory 提供 目录 服务 ,例如 负责 维护 Active Directory 数据 库 .验证 用 户 的 账 
户 与 密码 是 否 正确 、 将 Active Directory 数据 库 复制 到 其 他 的 域 控制 器 。 

一 个 域内 可 以 有 多 台 域 控制 器 。 多 台 域 控制 器 可 以 提供 足够 的 功能 和 容错 功能 , 即 
使 一 台 域 控制 器 出 现 故障 ,仍然 能 够 由 其 他 域 控制 器 提供 服务 。 多 台 域 控制 器 还 可 以 平 


Active Directory 服务 


衡 用 户 登录 的 负担 ,改善 用 户 登录 的 效率 。 

为 了 简单 起 见 , 本 节 仅 介绍 如 何 创建 整个 域 目录 林 中 的 第 一 个 域 ( 根 域 )。 假 设 域 的 
名 称 为 xyz. net, 并 在 该 域 中 设置 两 台 域 控制 器 , 即 server01. xyz. net 和 额外 的 域 控制 器 
server02. xyz. net。 域 目录 林 和 域 树 的 结构 如 图 4-1 所 示 。 这 种 网 络 环境 已 经 能 够 满足 
一 个 小 型 企业 的 需求 。 而 对 于 分 布 于 不 同 地 理 位 置 的 大 型 企业 ,通常 需要 在 每 个 位 置 配 
置 一 个 或 多 个 域 控制 器 才能 够 提供 足够 的 功能 和 容错 能 力 。 


域 控制 器 


域 控制 器 


\Server02.xyz.net 


百 
域 控制 器 
Server03.abc.net 


xyz.net 域 


abc.net 域 


成 员 服务 器 
Server05.zhengzhou.xyz.net 


Server04.zhengzhou. 
XYZ.net 


zhengzhou.xyz.net 域 
图 4-1 域 目录 林 和 域 树 的 结构 


4.2.1 创建 域 的 必要 条 件 


将 一 台独 立 服务 器 或 成 员 服 务 器 (已 安装 Windows Server 2003 标准 版 ,企业 版 或 
Datacenter 版 操作 系统 ) 升 级 为 域 控制 器 ,就 是 在 这 台 服 务 器 上 安装 活动 目录 。 在 升级 之 
前 ,请 先 检查 以 下 工作 是 否 准 备 就 绪 。 

(1) DNS 域名 。Windows Server 2003 域名 采用 DNS 的 结构 与 命名 方式 ,因此 必须 
为 域 指定 一 个 符合 DNS 规格 的 域名 (例如 xyz. net) 。 

(2) DNS 服务 器 。 在 Windows Server 2003 域 结构 的 网 络 中 , 域 控制 器 会 将 自己 登 
记 到 DNS 服务 器 内 ,以 便 让 其 他 计算 机 通过 DNS 服务 器 查找 到 这 台 域 控制 器 ,因此 网 络 
中 必须 有 一 台 DNS 服务 器 ,而 这 台 DNS 服务 器 必须 支持 “服务 位 置 资源 记录 ”(Server 
Location Resource Record, SRV RR) 与 “动态 更 新 ”的 功能 。 如 果 网 络 中 目前 还 没有 支 
持 服 务 器 位 置 资源 记录 与 “动态 更 新 ”的 DNS 服务 器 , 则 可 以 在 将 独立 服务 器 或 成 员 服务 
器 升级 为 域 控制 器 时 ,同时 安装 DNS 服务 。 
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(3) NTFS 磁盘 分 区 。 域 控制 器 需要 一 个 能 够 提供 安全 设置 的 磁盘 分 区 ,用 于 存储 
SYSVOL 文件 夹 (SYSVOL 文件 夹 内 存储 着 诸如 登录 注销 .启动 和 关闭 脚本 以 及 与 组 
策略 有 关 的 数据 ) 。 


4.2.2 创建 第 一 台 域 控制 器 


下 面 介绍 如 何 创建 如 图 4-1 所 示 的 根 域 为 xyz. net 的 域 目录 树 , 并 创建 第 一 台 域 控 
制 器 Server01. xyz. net。 

在 创建 网 络 中 的 第 一 台 域 控制 器 (例如 server01. xyz. net) 时 ,就 会 同时 创建 该 域 控 
制 器 所 隶属 的 域 (例如 xyz. net) ,同时 还 会 创建 该 域 所 隶属 的 域 目录 树 ,而 该 域 就 是 这 个 
域 目录 树 的 根 域 。 由 于 这 是 第 一 个 域 目录 树 , 因 此 还 会 同时 创建 一 个 新 的 域 目录 林 , 这 个 
域 目录 林 的 名 称 就 是 第 一 个 域 目录 树 的 根 域 的 域名 ,也 就 是 xyz. net。 域 xyz. net 也 就 是 
整个 域 目录 林 的 “目录 林 根 域 ”。 

可 以 通过 以 下 两 种 方法 创建 网 络 中 的 第 一 台 域 控制 器 。 

(1) 利用 Active Directory 安装 向 导 。 它 会 以 完整 的 步骤 指导 用 户 安装 活动 目录 。 

(2) 典型 配置 。 这 种 配置 方法 适合 于 配置 网 络 内 的 第 一 台 服务 器 。 


1. 利用 Active Directory 安装 向 导 


创建 网 络 中 的 第 一 台 域 控制 器 ,操作 步骤 如 下 。 

(1) 通过 以 下 3 种 方法 启动 *Active Directory 安装 向 导 ”。 

QO@ 选择 “开始 ”一 “运行 ”, 在 “运行 "对话 框 中 输入 dcpromo。 

@ 选择 “开始 ”>“ 管 理工 具 ” 一 “配置 您 的 服务 器 向 导 ”>“ 自 定义 配置 ”>“ 域 控制 器 
(Active Directory)”, 单 击 * 下 一 步 ? 按 钮 。 

@ 选择 “开始 ”一 “管理 工具 ”~“ 管 理 您 的 服务 器 ”~“ 添 加 或 删除 角色 ”一 “ 自 定义 配 
置 ”一 域 控 制 器 (Active Directory)”, 单 击 “ 下 一 步 ” 按 钮 。 

(2) 出 现 “ 欢 迎 使 用 Active Directory 安装 向 导 ” 对 话 框 , 单 击 “ 下 一 步 ” 按 钮 。 

(3) 出 现 “ 操 作 系 统 兼 容 性 ”对 话 框 ,提示 以 前 版 本 的 Windows, 例 如 Windows 95 与 
Windows NT 4.0 SP3 或 更 早 的 版 本 ,默认 将 无 法 登录 到 运行 Windows Server 2003 的 域 
控制 器 或 访问 域 资源 , 单 击 * 下 一 步 按 钮 。 

(4) 在 “ 域 控制 器 类 型 "“ 创 建 一 个 新 域 " 对 话 框 中 ,分 别 选 择 “ 新 域 的 域 控 制 器 ”“ 在 
新 林 中 的 域 ", 如 图 4-2 所 示 , 单 击 “ 下 一 步 ”按钮 。 

(5) 如 果 出 现 如 图 4-3 所 示 的 对 话 框 ,表示 目前 没有 为 这 台 计 算 机 指定 首选 DNS 服 
务 器 ,否则 直接 转 到 步骤 (6)。 

@ 如 果 网 络 上 已 有 支持 活动 目录 的 DNS 服务 器 , 则 选择 “是 ,将 配置 DNS 客户 端 ”。 
单 击 “ 下 一 步 ” 按 钮 ,为 本 机 配置 “首选 DNS 服务 器 ”后 ,再 继续 后 续 的 操作 。 

@ 如 果 要 在 这 台 计 算 机 上 安装 并 配置 DNS 服务 . 则 选择 “和 否 ,只 在 这 台 计 算 机 上 安 
装 并 配置 DNS”。 在 此 选择 此 项 , 即 在 这 台 计 算 机 上 安装 DNS 服务 。 
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4-2 指定 域 控制 器 类 型 和 域 的 类 型 


图 4-3 ”安装 或 配置 DNS 


(6) 在 如 图 4-4 所 示 的 对 话 框 中 输入 新 域 的 DNS 全 名 (例如 xyz. net) , 接 下 来 安装 
程序 会 花 一 些 时 间 来 检查 该 域名 是 否 已 经 存在 ,如 果 已 存在 ,安装 程序 会 要 求 重新 设置 一 
个 域名 。 

(7) 在 NetBIOS 域名 对 话 框 中 ,指定 新 域 的 NetBIOS 名 称 。 这 个 名 称 是 早期 
Windows 版 本 的 用 户 用 来 识别 新 域 的 。 如 果 DNS 域名 为 xyz. net, 则 默认 的 NetBIOS 域 
名 为 XYZ。 单 击 “ 下 一 步 ” 按 钮 ,接受 默认 的 名 称 , 也 可 以 输入 新 名 称 ,在 此 保留 默认 的 
名 称 。 


《Windows 网 


图 4-4 指定 新 域 的 名 称 


(8) 在 “数据 库 和 日 志文 件 文件 夹 ” 对 话 框 中 ,指定 Active Directory 数据 库 文件 夹 和 
日 志文 件 夹 的 位 置 。 数 据 库 文件 夹 用 来 存储 活动 目录 数据 库 , 日 志文 件 夹 用 来 存储 活动 
目录 的 日 志 , 该 日 志 可 以 用 来 修复 活动 目录 , 单 击 “ 下 一 步 ” 按 钮 使 用 默认 值 。 

(9) 在 “共享 的 系统 卷 ” 对 话 框 中 ,指定 SYSVOL 文件 夹 的 位 置 。 该 文件 夹 存储 与 组 
策略 相关 的 数据 ,必须 位 于 NTFS 卷 上 , 单 击 “ 下 一 步 "按钮 使 用 默认 位 置 C:\WINDOWS 
NMSYSVOL 。 

(10) 如 果 出 现 如 图 4-5, 表 示 为 这 台 计算 机 配置 的 首选 或 备用 DNS 服务 器 都 没有 响 
应 或 者 没有 负责 该 域 的 区 域 ( 例 如 负责 xyz. net 域 的 区 域 ) ,或 者 不 支持 活动 目录 (例如 不 
支持 SRV 或 动态 更 新 )。 此 时 ,可 以 直接 选择 第 二 个 选项 ,或 者 参阅 以 下 的 说 明 后 再 选择 
合适 的 选项 。 否 则 ,请 直接 转 到 步骤 (11) 。 


图 4-5 DNS 注册 诊断 


@ 可 以 暂时 停止 操作 , 先 去 解决 DNS 服务 器 的 问题 ,完成 后 再 选择 第 1 项 。 
@ 如 果 要 在 这 台 计 算 机 上 安装 并 配置 DNS 服务 器 ,并 将 这 台 DNS 服务 器 设 为 这 台 
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计算 机 的 “首选 DNS 服务 器 ”, 则 选择 第 2 项 。 

@ 用 户 也 可 以 选择 “我 将 在 以 后 通过 手动 配置 DNS 来 更 正 这 个 问题 " 单 选项 ,建议 
尽快 解决 DNS 服务 器 的 问题 ,否则 域 将 无 法 正常 工作 。 

(11) 在 图 4-6 中 , 单 击 “ 下 一 步 ” 按 钮 ,或 者 参阅 以 下 说 明 后 再 选择 合适 的 选项 。 


图 4-6 选择 用 户 和 组 的 默认 权限 


@ “与 Windows 2000 之 前 的 服务 器 操作 系统 兼容 的 权限 ”。 如 果 在 Windows NT 
Server 或 者 Windows 2000 Server/Windows Server 2003( 隶 属于 Windows NT 域 ) 上 运 
行 一 些 服务 器 程序 时 , 则 选择 该 选项 ,该 选项 允许 匿名 用 户 Anonymous 读 取 这 个 域 的 
信息 。 

加 “只 与 Windows 2000 或 Windows Server 2003” 操 作 系统 兼 容 的 权限 。 如 果 仅 在 
隶属 于 活动 目录 域内 的 Windows 2000 或 Windows Server 2003 计算 机 上 运行 所 有 服务 
器 程序 , 则 选择 该 选项 ,该 选项 只 允许 经 过 身份 验证 的 用 户 访问 这 个 域 的 信息 。 

(12) 在 图 4-7 中 输入 “目录 服务 还 原 模式 ”的 管理 员 密 码 。 可 以 在 计算 机 启动 时 按 
F8 键 进入 “目录 服务 还 原 模 式 ”, 输 入 此 处 所 设置 的 密码 ,成 功 进入 该 模式 后 可 以 修复 活 
动 目 录 数 据 库 。 


目录 服务 还 原 醒 式 的 各 理 员 密 码 
该 密码 在 “目录 服务 还 原 模 式 ”下 启动 计算 机 时 使 用 。 


图 4-7 指定 目录 服务 还 原 模式 的 管理 员 密码 
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提示 :“ 目 录 服 务 还 原 模式 ”的 管理 员 账 户 与 域 管理 员 账 户 不 同 ,其 密码 也 可 以 设 为 
不 同 。 
(13) 确认 各 项 设置 无 误 后 ,如 图 4-8 所 示 , 单 击 “ 下 一 步 ? 按 钮 。 


4-8 复查 并 确认 选项 


(14) 接 下 来 ,系统 会 花 一 些 时 间 安 装 活动 目录 ,之 后 ,在 “正在 完成 Active Directory 
安装 向 导 ” 对 话 框 中 , 单 击 “ 完 成 按钮。 出现 如 图 4-9 所 示 的 信息 提示 对 话 框 时 , 单 击 “ 立 
即 重新 启动 ”按钮 ,重新 启动 Windows, 至 此 域 控制 器 安装 完成 。 


图 4-9 “信息 提示 ”对 话 框 


2. 典型 配置 


典型 配置 适合 于 配置 网 络 内 的 第 一 台 服 务 器 ,而 且 是 唯一 的 一 台 服 务 器 。 典 型 配置 
的 操作 步骤 如 下 。 

(1) 在 Windows Server 2003 独立 服务 器 上 ,通过 以 下 两 种 方法 启动 “配置 您 的 服务 
器 向 导 ”。 

Q@ 单 击 * 开 始 ” 一 “管理 工具 ”一 “配置 您 的 服务 器 向 导 ”, 出现“ 欢迎 使 用 配置 您 的 服 
务 器 向 导 ”, 单 击 “ 下 一 步 ” 按 钮 。 

@ 单 击 * 开 始 ” 一 “管理 工具 ”一 “管理 您 的 服务 器 ”, 单 击 “ 添 加 或 删除 角色 ”。 

(2) 出 现 图 4-10 时 ,检查 列举 的 这 些 预 备 步骤 是 否 已 经 完成 ,例如 网 卡 是 否 安装 / 配 
置 正确 、 线 缆 是 否 连接 好 、 安 装 CD 是 否 准备 就 绪 等 。 确 认 完 成 后 , 单 击 “ 下 一 步 ” 按 钮 。 

(3) 在 图 4-11 中 ,选择 “第 一 台 服 务 器 的 典型 配置 ”, 该 选项 会 在 这 台 计 算 机 上 同时 
安装 活动 目录 服务 .DNS 服务 .DHCP 服务 (如 果 需 要 )。 
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备 步 下 
您 可 以 在 继续 之 前 通过 完成 下 列 步骤 来 确认 修成 功 配置 了 服务 器 。 


在 继续 前 ,请 确认 下 列 步 台 已 经 完成 。 

安装 所 有 调制 解 调 器 和 网 卡 . 

连接 所 有 需要 的 电 效 。 

如 果 您 计划 使 用 此 服务 器 连接 Internet， 现 在 请 连接 到 Internet。 
打开 所 有 外 围 设备 ,例如 打印 机 和 外 部 豫 动 器 。 

有 Windows Server 2003 安装 CD ,或 知道 网 络 安装 路 径 。 


单 击 “ 下 一 步 ”， 向 导 格 搜索 网 络 连 接 。 


图 4-10 预备 步骤 


[TREE || 


配置 选项 [本 
和 8 光 引 00 引用 包 ， 或 者 您 也 可 以 通过 指定 要 添加 或 删除 的 角色 来 自 定义 | 
- 己 


配置 此 服务 器 ,使 用 
(ol 人 | 


A 和 全 让 su 


务 器 设置 为 域 近 | 


个 自 定义 配置 CE) 
通过 活 : 让 此 服务 器 执行 的 角 服务 器 ,打印 服务 器 ， 或 应 用 程序 服务 器 ,等 等 ) 来 自 
要 您 也 可 以 1 二 让 务 器 上 已 经 存在 的 角色 。 


< 上 - 步 名 [下 = 步 加 站 取消 | ”帮助 | 
图 4-11 指定 服务 器 配置 选项 


提示 : 如 果 网 络 上 已 经 有 一 台 DHCP 服务 器 ,并 且 支 持 该 网 络 的 作用 域 , 则 不 会 出 
现 如 图 4-11 所 示 的 对 话 框 ,而 是 直接 进入 图 4-12, 此 时 需要 选择 “ 域 控制 器 (Active 
Directory)”, 然 后 利用 “Active Directory 安装 向 导 ”, 再 将 计算 机 升级 为 域 控制 器 。 

(4) 在 图 4-13 中 ,输入 新 域 的 DNS 全 名 (例如 xyz. net)。 完 成 后 , 单 击 “ 下 
二 步 " 按 钮 。 
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ETEETE x 


最 务 器 角色 耳 
您 可 以 设置 此 服务 器 担任 一 个 或 多 个 特定 角色 。 如 果 您 想 在 此 服务 器 上 添加 一 个 以 上 的 角 [ 
色 ， 悠 可 以 骨 次 运行 此 向 导 。 上 


站 


Ei 


辕 寺 有 关 域 控制 器 的 信息 


查看 “配置 的 要 各 器 向” 日志 


sw [25 让 9W | ww | 
图 4-12 指定 服务 器 角色 


[TREE ‘xl 


Active Directory 域名 
Active Directory 城 通过 DIS 名 称 识别 。 | 请 


输入 新 域 的 DNS 全 各， 

Active Directory 域名 (A) 

(xyz. ae 

完整 的 DNS 名 称 示例 : smallbusiness. local 


于 在 您 的 Active 和 域名 结尾 使 用 一 个 “ local” 扩展， 可 以 确保 您 的 内 部 域 保持 与 
Internet 域 分 : 


《上 一 步 @)| 下 一步 中 )| 取消 帮助 


图 4-13 指定 Active Directory 域名 


(5) 在 图 4-14 中 ,默认 显示 一 个 由 DNS 域名 派生 的 NetBIOS 域名 ,例如 ,如 果 DNS 
域名 为 xyz. net, 则 默认 的 NetBIOS 域名 就 是 XYZ。 可 以 更 改 该 名 称 ,完成 后 , 单 击 “ 下 
一 步 ” 按 钮 。 

(6) 如 果 没 有 为 这 台 服 务 器 配置 首选 或 备用 DNS 服务 器 , 则 出 现 图 4-15。 此 时 ,如 
果 用 户 知道 扮演 转发 器 (转发 器 是 另外 一 台 DNS 服务 器 ,可 以 解析 此 DNS 服务 器 不 能 解 
析 的 DNS 查询) 的 DNS 服务 器 的 IP 地 址 ,请 选择 “是 ,将 查询 转发 到 IP 地 址 如 下 的 DNS 
服务 器 ”, 然 后 输入 IP 地 址 ,否则 选择 “ 否 , 不 转发 查询 ”。 
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WetBI0S 名 La 
运行 非 Windows 2000 ,Windows XP 和 Windows Server 2003 家 谈 的 客户 端 格 使 用 上 
JetBIOS 域名 。 上 


默认 WetBI0S 名 称 由 DRS 域名 派生 . 
DRS 域名 


要 更 改 默认 WetBI0S 名 称 ,请 在 下 面 的 框 中 输入 新 的 名 称 。 


NetBIOS 域名 双 ) 
[xxz 
《上 - 步 四 取消 | 帮助 | 
图 4-14 指定 域 的 NetBIOS 名 
ETEETB x 
正在 转发 DIS 查询 此 
设计 为 和 发 器 的 DIS 服务 器 解析 此 服务 器 不 能 解析 的 DIS 查询 。 | 


杂 和 2 让 计算 机 名 称 的 请 求 )。 您 可 以 
训 和 二 Pt 二， i 人 i ISP 联系 ， 以 获得 转发 


您 起 让 此 服务 器 转发 未 解析 的 DNS 查询 吗 ? 
人 隐 , 将 查询 和 发 到 了 F 弄 十 如下 的 DIS 职务 可 四 


个 否 ,不 转发 查询 @) 


-So S| ww | WW | 
图 4-15 指定 转发 查询 


如 果 已 经 为 这 台 计 算 机 配置 了 “首选 DNS 服务 器 ”, 则 向 导 会 自动 将 该 DNS 服务 器 
设置 为 “转发 器 ” ,而且 会 直接 转 到 步骤 (7) 。 

(7) 出 现 图 4-16 时 , 单 击 * 下 一 步 ? 按 钮 。 

(8) 出 现 图 4-17 时 ,在 关闭 所 有 打开 的 程序 后 , 单 击 “ 确 定 ” 按 钮 。 

(9) 在 安装 过 程 中 ,系统 会 提示 插入 Windows Server 2003 安装 光盘 ,插入 光盘 后 , 单 
击 “ 确 定 ” 按 钮 。 接 下 来 ,系统 会 花 一 些 时 间 安 装 并 配置 DHCP 服务 器 、 活 动 目 录 和 DNS 
服务 器 等 。 
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配置 和 的 服务 器 向 导 
选择 总 结 和 
查看 并 确认 您 选择 的 选项 。 | 叫 
己 
总 结 公 ) 


| 实 装 DHCP 服务 器 如果 需 要 ) > 
话 装 Active Directory 和 DNS 服务 器 (将 此 服务 器 设置 为 域 控制 器 ) 
间 建 下 列 充 整 域名 : xyz. net 


要 更 改 您 的 选择 ， 单 击 “ 上 一 步 ”。 要 继续 设置 此 角色 , 单 击 “ 下 一 步 ”。 
《上 - 步 四 取消 各 助 
图 4-16 复查 并 确认 选项 


配置 您 的 服务 器 向 导 
e+ “配置 您 的 服务 器 向 导 ” 格 重新 咎 动 计算 机 。 在 继续 之 前 ， 请 关闭 所 有 打开 


[CE |] 六 


4-17 重新 启动 计算 机 


(10) 完成 后 ,系统 将 自动 重新 启动 ,重新 登录 后 还 会 继续 执行 后 续 的 操作 ,服务 器 配 
置 完成 后 , 单 击 “ 下 一 步 "按钮 。 

(11) 出 现 * 此 服务 器 现在 已 配置 好 ?对 话 框 时 , 单 击 * 完 成 ?按钮 , 即 可 完成 域 控制 器 
的 安装 。 

提示 : 通过 典型 配置 方式 “目录 服务 还 原 模 式 ” 的 管理 员 密 码 为 空 ,如 果 要 更 改 密 
码 ,可 在 进入 “目录 还 原 模式 ”后 ,通过 按 Ctrl 十 Alt 十 Delete 组 合 键 更 改 。 


4.2.3 将 计算 机 加 入 、 脱 离 域 


可 以 将 Windows XP Professional、 Windows Server 2003、Windows 2000 Server / 
Professional、Windows NT Server/ Workstation 等 计算 机 加 入 域 ,以 后 用 户 就 可 以 从 这 
些 成 员 计 算 机 上 ,利用 域 用 户 账户 登录 到 域 并 访问 域 的 资源 了 。 

要 将 计算 机 pc01( 已 安装 Windows XP Professional) 加 入 xyz. net 域 ,操作 步骤 
如 下 。 

(1) 配置 计算 机 pc01 的 “首选 DNS 服务 器 ”为 192. 168. 10. 1 , 即 该 域 的 第 1 台 域 控 
制 器 (同时 也 是 DNS 服务 器 ) 的 IP 地 址 。 

(2) 在 pc01 上 , 右 击 * 我 的 电脑 ” ,选择 “属性 ,选择 “计算 机 名 ?选项 卡 , 单 击 * 更 改 ” 
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按钮 。 
(3) 出 现 如 图 4-18 所 示 的 对 话 框 时 ,输入 要 加 入 的 域名 , 单 击 “确定 ”按钮 。 


计算 机 名 称 更 改 
RN。 更 疏 可 能 会 尺 响 


图 4-18 “计算 机 名 称 更 改 ” 对 话 框 


(4) 如 果 出 现 图 4-19, 表 示 当 前 计算 机 不 能 联系 域 控制 器 。 原 因 有 很 多 ,一 般 要 重点 
检查 以 下 几 个 方面 : 域名 是 否 输入 正确 ;是 否 按 步 又 (1) 所 示 为 这 台 计 算 机 配置 了 “首选 
DNS 服务 器 ;指定 的 DNS 服务 器 的 IP 地 址 是 否 正确 ;DNS 服务 器 工作 是 否 正常 ;网 络 
连接 是 否 正常 等 。 在 解决 了 这 些 问题 后 ,再 单 击 “ 确 定 ” 按 钮 ,尝试 重新 加 入 域 。 

计算 机 名 更 改 


不 能 联系 域 xyz. net 的 域 控制 器 。 
请 确认 域名 输入 正确 。 


如 果 名 称 正确 ， 单 击 “ 详 细 信 息 ” 了 解 且 难 解答 信息 . 


4-19 更 改 计算 机 名 时 不 能 联系 域 控制 器 


(5) 在 如 图 4-20 所 示 的 对 话 框 中 ,输入 有 权限 将 该 计算 机 加 入 域 的 用 户 名 与 密码 
(例如 administrator) ,完成 后 , 单 击 * 确 定 ” 按 钮 。 

提示 : 任何 一 个 域 用 户 账 户 都 可 以 将 10 台 计 算 机 加 入 域 ,但 系统 管理 员 不 受 此 
限制 。 

(6) 出 现 图 4-21, 表 示 pc01 已 经 成 功 加 入 域 , 单 击 “ 确 定 ” 按 钮 。 

(7) 将 计算 机 pc01 成 功 加 入 域 后 ,这 台 计 算 机 的 完整 的 计算 机 名 称 为 pc01. xyz. 
net, 重 新 启动 计算 机 即 可 生效 。 

将 计算 机 (例如 pc01) 加 入 域 后 .用户 可 以 利用 两 种 类 型 的 账户 登录 。 

中 域 用 户 账户 。 在 “登录 到 Windows” 对 话 框 中 ,如 图 4-22 所 示 , 单 击 右 下 角 的 “ 选 
项 ”按钮 后 ,输入 管理 员 事 先 在 域 控制 器 上 创建 的 域 用 户 账户 名 (例如 user01) 和 密码 ,并 
选择 登录 到 域 (例如 XYZ) 。 登 录 成 功 后 ,该 用 户 在 访问 域内 的 任何 一 台 计 算 机 时 ,都 不 


一 56 


《Windows 网 络 管理 简明 教程》 


请 输入 有 加 入 该 域 权限 的 账户 的 名 称 和 窜 码 。 


用 户 名 中: @ saministrator 
密码 (E): 


Ce jw 


图 4-20 输入 加 入 域 的 用 户 名 和 密码 图 4-21 提示 成 功 加 入 域 


需要 再 输入 用 户 名 和 密码 ,这 就 体现 了 域 的 一 个 优点 , 即 单 次 登录 就 可 以 访问 域内 的 所 有 
授权 访问 的 资源 。 


1 Windows 


B. Professional 


mraw [ea | 


1 E 
ss 
WC 可 
EGR 
口 全 用 抠 呈 阿 二 过 丘 未 0 


4-22 “登录 到 Windows” 对 话 框 


@ 本 地 用 户 账户 。 在 “登录 到 Windows” 对 话 框 中 ,如 图 4-23 所 示 , 单 击 右 下 角 的 
“选项 ”按钮 ,输入 本 地 用 户 账户 名 administrator 和 对 应 的 密码 ,并 选择 登录 到 “PC01( 本 
机 )”, 成 功 登 录 以 后 ,该 用 户 就 可 以 访问 本 地 计算 机 内 授权 访问 的 资源 ,但 无 法 访问 域内 
其 他 计算 机 的 上 资源 ,除非 在 连接 到 其 他 计算 机 时 再 次 输入 有 权限 访问 的 用 户 名 和 密码 。 

登录 到 Windows 
Win 


B.. Professional 


用 户 各 轨 : [saministrater 

之 码 @) 1 

ec > 
口 使 用 拔 叶 网 络 连 接 登 录 四 ) 


CD 


图 4-23 登录 到 Windows 本 地 计算 机 
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将 某 台 计 算 机 脱离 域 的 操作 很 简单 ,只 需 将 如 图 4-18 所 示 对 话 框 中 的 隶属 于 “ 域 ” 修 
改 为 工作 组 ”, 并 且 输入 适当 的 工作 组 名 称 即 可 。 工 作 组 的 名 称 可 以 自行 设置 ,也 可 以 输 
入 网 络 中 现 有 的 工作 组 的 名 称 。 将 计算 机 设置 在 同一 个 工作 组 后 ,用 户 在 浏览 网 络 上 的 
计算 机 时 ,可 以 很 容易 找到 同一 个 工作 组 内 的 计算 机 。 


4.3 Active Directory 逻辑 结构 


Active Directory 的 逻辑 结构 提供 了 在 Active Directory 中 设计 层次 结构 的 方法 ,其 
逻辑 组 件 包括 域 ` 组 织 单位 目录 树 和 目录 林 、 全 局 编 录 。 


4.3.1 域 


Active Directory 逻辑 结构 的 核心 是 域 。 域 是 指 由 管理 员 定 义 的 并 由 管理 员 管 理 的 、 
共享 通用 目录 数据 库 的 计算 机 集合 。 域 具有 唯一 的 名 称 并 且 提 供 对 用 户 账户 和 组 账户 的 
集中 访问 。 

域 提供 了 安全 边界 功能 。 使 用 安全 边界 的 目的 是 为 了 确保 域 管理 员 只 拥有 对 本 域 执 
行 管理 任务 的 必要 权限 ,除非 该 管理 员 被 明确 授予 其 他 域 的 管理 权限 。 每 个 域 都 有 自己 
的 安全 策略 和 与 其 他 域 关联 的 安全 关系 。 

域 也 是 复制 单位 。 复 制 单位 表示 在 特定 域 中 所 有 的 域 控制 器 都 能 接收 到 该 域 中 任何 
更 改 的 信息 ,并 能 将 更 改 的 信息 复制 到 该 域 中 其 他 的 域 控制 器 上 。 


4.3.2 组 织 单位 


组 织 单位 (OU) 用 于 在 域 中 组 织 对 象 , 例 如 用 户 账 户 ` 组 .计算 机 、 打 印 机 和 其 他 组 织 
单位 等 对 象 。 此 外 ,还 可 以 在 组 织 单位 上 实施 组 策略 。 


1. 组 织 单位 的 层次 结构 


管理 员 可 以 结合 网 络 需求 和 下 列 因 素 设 计 合 理 的 组 织 单位 层次 结构 ,以 便 更 加 方便 
地 组 织 ,管理 活动 目录 中 的 对 象 。 

(1) 基于 管理 职责 的 网 络 管理 模式 。 例 如 , 某 网 络 内 可 能 会 由 一 个 管理 员 负 责 管理 
所 有 用 户 账户 ,而 由 另 一 个 管理 员 负 责 管理 所 有 计算 机 。 这 时 ,管理 员 就 可 以 为 用 户 对 象 
和 计算 机 对 象 分 别 创建 一 个 组 织 单位 。 

(2) 基于 部 门 或 地 理 边界 的 组 织 结构 。 按 照 部 门 或 地 理 位 置 划 分 组 织 结构 。 

(3) 上 述 两 种 层次 结构 的 组 合 。 

各 个 域 的 组 织 单位 层次 结构 之 间 是 互相 独立 的 ,每 个 域 都 可 以 实现 自己 的 组 织 单位 
层次 结构 。 


《Windows 网 络 管理 简明 教程》 


2. 管理 组 织 单位 


在 Active Directory 目录 树 的 较 高 层次 跟踪 权限 比 跟 踪 对 象 或 对 象 属性 的 权限 更 为 
简单 ,因此 ,最 常用 的 委派 管理 控制 方法 是 在 组 织 单位 或 容器 的 级 别 上 分 配 权限 。 在 这 个 
级 别 上 分 配 权 限 , 可 以 使 管理 员 对 该 组 织 单位 或 容器 内 的 所 有 对 象 进行 委派 管理 控制 。 
通过 委派 管理 控制 ,无 须 网 络 中 的 最 高 管理 员 , 受 委派 的 管理 员 就 可 以 执行 指定 的 控制 权 
限 了 。 委 派 管 理 控制 分 散 了 管理 操作 ,减少 了 管理 的 时 间 和 成 本 ,也 减少 了 误 操作 的 可 
能 性 。 


4.3.3 ” 域 目 录 树 \ 域 目录 林 和 双向 信任 传递 


1. 域 目 录 树 


如 果 需 要 设置 一 个 包含 多 个 域 的 网 络 , 则 可 以 将 网 络 设计 为 域 目录 树 的 结构 ,也 就 是 
说 ,这 些 域 以 树 状 的 形式 存在 。 图 4-24 显示 了 一 个 树 状 
结构 的 域 目录 树 ,最 上 层 的 域名 为 xyz. net, 它 是 这 个 域 
目录 树 的 根 域 ,其 下 还 有 2 个 子 域 , 分 别 是 bj. xyz. net 
与 zz. xyz. net, 在 这 些 子 域 下 面 还 可 以 设置 更 低 一 层 的 
子 域 。 

目录 树 的 名 称 空间 是 连续 的 ,符合 DNS 域名 空间 
的 命名 策略 。 子 域 的 域名 中 包含 着 其 父 域 的 域名 , 例 
如 , 域 bj. xyz. net 中 包含 着 上 一 层 域 ( 父 域 ) 的 名 称 
xXyz. net。 

域 目录 树 内 的 所 有 域 共享 一 个 活动 目录 , 即 在 这 个 图 4-24 域 目录 树 
域 目录 树 下 只 有 一 个 活动 目录 。 不 过 ,这 个 活动 目录 内 
的 数据 分 散 地 存储 在 各 个 域内 ,每 个 域 中 只 存储 该 域 的 数据 。Windows Server 2003 将 
存储 在 各 个 域 中 的 对 象 总 称 为 活动 目录 。 


2. 域 目录 林 


域 目录 林 由 一 个 或 多 个 域 目录 树 组 成 ,每 个 域 目录 树 都 有 自己 唯一 的 名 称 空间 ,如 
图 4-25 所 示 , 左 侧 域 目录 树 内 的 每 个 域名 的 后 缀 都 是 xyz. net' 而 右 侧 域 目录 树 的 每 个 域 
名 的 后 级 都 是 abc. net。 

创建 的 第 一 个 域 目 录 树 的 根 域 ,也 是 整个 域 目录 林 的 根 域 ,同时 该 域 的 域名 也 是 域 目 
录 林 的 名 称 。 例 如 ,图 4-25 中 的 xyz. net 是 第 一 个 域 目 录 树 的 根 域 , 它 也 是 整个 域 目 录 
林 的 根 域 ,xyz. net 也 是 域 目录 林 的 名 称 。 

虽然 域 目录 林 中 的 域 目录 树 并 不 需要 共享 同一 个 连续 的 命名 空间 ,但 是 共享 相同 的 
公共 架构 、Active Directory 配置 的 上 下 文 和 全 局 编 录 。 如 果 一 棵 域 目录 树 与 其 他 任何 域 
目录 树 都 没有 关联 ,那么 它 就 形成 一 个 仅 含 有 一 棵 域 目录 树 的 域 目录 林 。 


bj.xyz.net ZZ.XYZ.net 


58 


Active Directory 服务 


bj.xyz.net ZZ.XYZ.net 


图 4-25 域 目录 林 


3. 信任 


两 个 域 之 间 必 须 建立 了 信任 关系 , 才 可 以 访问 对 方 域内 的 资源 。 任 何 一 个 域 作为 子 
域 加 入 到 域 目录 树 后 ,这 个 子 域 会 自动 信任 上 一 层 的 父 域 ,同时 父 域 也 会 自动 信任 这 个 子 
域 , 而 且 这 些 信任 关系 具备 双向 传递 性 。 

在 图 4-26 中 , 域 B 信任 域 A( 箭 头 由 B 指 向 A), 域 A 又 信任 域 C, 因 此 域 B 自动 信任 
域 C; 另 外 , 域 C 信任 域 A( 箭 头 由 C 指向 A) 域 A 又 信 
任 域 B, 因 此 域 C 自动 信任 域 B, 因 此 , 域 B 和 域 C 之 间 
也 就 自动 建立 了 双向 的 信任 关系 ,也 称 为 隐 含 的 信任 关 
系 ,在 图 4-26 中 用 虚线 表示 域 B 和 域 C 之 间 隐 含 的 信 
任 关 系 。 

当 任何 一 个 Windows Server 2003 域 加 入 到 域 目录 
树 后 , 它 会 自动 地 双向 信任 这 个 目录 树 中 的 所 有 域 ,只 
要 拥有 适当 的 权限 ,这 个 新 域内 的 用 户 就 可 以 访问 其 他 
域内 的 资源 ; 同 理 , 其 他 域内 的 用 户 也 可 以 访问 这 个 新 
域内 的 资源 。 图 4-26 域 之 间 的 信任 关系 

创建 域 目 录 林 时 ,每 个 域 目录 树 的 根 域 之 间 会 自动 
建立 双向 的 、 可 传递 的 信任 关系 。 正 是 因为 具备 这 种 信任 关系 ,所 以 ,任何 一 个 域内 的 用 
户 都 可 以 访问 域 目录 林 中 任何 一 个 域内 的 资源 ,也 可 以 从 任何 一 个 域内 的 计算 机 上 登录 。 


4.3.4 全 局 编 录 


前 面 讲 过 ,虽然 域 目录 树 内 的 所 有 域 共享 一 个 活动 目录 ,但 是 这 个 活动 目录 内 的 数 
据 却 是 分 散 地 存储 在 各 个 域内 ,而 每 个 域 只 存储 该 域 的 数据 。 因 此 ,为 了 让 每 个 用 户 、 
应 用 程序 能 够 快速 地 找到 其 他 域 中 内 的 资源 , Windows Server 2003 内 就 设置 了 “全 局 
编 录 ”。 
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全 局 编 录 是 一 个 信息 存储 库 , 包 含 Active Directory 中 所 有 对 象 属性 的 一 个 子 集 。 在 
默认 状态 下 ,将 需 经 常 查询 的 属性 存储 在 全 局 编 录 中 ,如 用 户 的 姓名 和 登录 名 称 。 全 局 编 
录 中 也 包含 了 用 于 确定 对 象 在 目录 中 位 置 的 必要 信息 。 全 局 编 录 还 包括 存储 在 全 局 编 录 
中 每 个 对 象 和 属性 的 访问 权限 。 如 果 用 户 在 全 局 编 录 中 搜索 一 个 无 权 查 看 的 对 象 ,那么 
该 对 象 将 不 会 出 现在 返回 的 结果 列表 中 。 这 保证 了 用 户 只 能 找到 他 们 有 权 访 问 的 对 象 。 

全 局 编 录 让 用 户 无 须 考虑 对 象 在 整个 目录 林 中 的 位 置 ,就 可 以 很 快 地 查找 到 所 需 对 
象 。 例 如 , 当 查 询 目 录 林 中 的 所 有 打印 机 时 ,全 局 编 录 服务 器 在 全 局 编 录 中 执行 查询 并 返 
回 结果 。 如 果 没 有 全 局 编 录 服务 器 ,那么 就 需要 搜索 目录 林 中 的 每 个 域 才 能 完成 该 查询 。 
全 局 编 录 还 负责 提供 用 户 登录 时 ,该 用 户 所 隶属 的 “通用 组 ”数据 。 当 用 户 利用 用 户主 体 
名 称 (UPN) 登 录 时 ,全 局 编 录 还 负责 提供 该 用 户 隶 属于 哪个 域 的 信息 。 

全 局 编 录 服务 器 是 一 个 用 于 处 理 查询 全 局 编 录 请 求 的 域 控制 器 。 在 域 目录 林 中 创建 
的 第 一 台 域 控制 器 就 是 默认 的 全 局 编 录 服 务 器 。 用 户 也 可 以 通过 配置 额外 的 全 局 编 录 服 
务 器 来 平衡 登录 认证 和 查询 的 流量 。 


4.4 Active Directory 物理 结构 


在 Active Directory 中 ,逻辑 结构 与 物理 结构 是 相互 独立 的 有 区 别 的 。 用 户 使 用 好 
辑 结构 组 织 网 络 资源 ,而 使 用 物理 结构 配置 和 管理 网 络 的 流量 。 物 理 结构 决定 了 在 复制 
和 登录 时 通信 流量 发 生 的 时 间 和 位 置 。 域 控制 器 和 站 点 组 成 了 Active Directory 的 物理 
结构 。 


4.4.1 域 控制 器 


域 控制 器 是 一 台 运 行 Windows Server 2003 并 存储 活动 目录 的 计算 机 。 域 控制 器 通 
过 活动 目录 提供 目录 服务 ,例如 , 它 负责 维护 活动 目录 数据 库 、 验 证 用 户 的 账户 与 密码 是 
否 正确 、 将 活动 目录 数据 库 复制 到 其 他 的 域 控制 器 。 

一 个 域内 可 以 有 多 台 域 控制 器 ,多 台 域 控制 器 可 以 提供 足够 的 功能 和 容错 功能 ,即使 
一 台 域 控制 器 出 现 故 障 了 ,仍然 能 够 由 其 他 域 控 制 器 提供 服务 。 另 外 , 它 还 可 以 改善 用 户 
登录 的 效率 ,因为 多 台 域 控制 器 可 以 分 担 审核 用 户 登 录 的 负担 。 


1. SYSVOL 文件 夹 


SYSVOL 文件 夹 是 一 个 共享 的 系统 卷 目录 结构 ,存在 于 所 有 Windows 2003 域 控 制 
器 中 。 这 个 共享 的 系统 卷 存储 了 诸如 登录 注销、 启动 和 关闭 脚本 以 及 组 策略 信息 之 类 的 
文件 ,这 些 文件 会 在 域 控制 器 间 互 相 复 制 。 这 个 共享 的 系统 卷 在 不 同 的 文件 结构 上 会 以 
不 同 的 名 称 共享 ,在 Windows 2000 及 其 后 续 版 本 的 客户 端 上 为 SYSVOL ,而 在 基于 非 
Windows 2000 的 计算 机 上 为 NETLOGON。SYSVOL 目录 必须 存放 在 基于 NTFS 文件 
系统 的 卷 上 。 
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2. Active Directory 复制 


Active Directory 复制 是 Active Directory 服务 中 最 重要 的 功能 之 一 。Active 
Directory 服务 必须 有 多 个 域 控制 器 ,并 且 每 个 域 控制 器 必须 存储 完全 相同 的 Active 
Directory 数据 库 副 本 ,才能 提供 容错 处 理 和 负载 平衡 。 管 理 员 一 旦 更 改 了 Active 
Directory 中 的 信息 , 则 发 生 更 改 的 域 控制 器 就 会 将 更 改 的 信息 复制 到 本 域 中 其 他 的 域 控 
制 器 中 去 。 

Active Directory 数据 库 分 为 3 个 部 分 , 称 为 命名 上 下 文 ,分 别 如 下 。 

(1) 域 命名 上 下 文 。 保 存 一 个 域 中 的 所 有 对 象 和 对 象 属性 。 

(2) 架构 命名 上 下 文 。 定 义 在 Active Directory 数据 库 中 可 创建 的 对 象 和 属性 。 

(3) 配置 命名 上 下 文 。 保 存 目 录 林 中 与 信任 有 关 的 信息 。 

域 中 的 域 控制 器 会 将 域 命名 上 下 文中 的 任何 更 改 自 动 复制 到 其 他 域 控 制 器 。 目 录 林 
中 的 域 控制 器 会 自动 地 将 架构 命名 上 下 文 和 配置 命名 上 下 文中 的 任何 更 改 复制 到 其 他 域 
控制 器 。 复 制 保证 了 Active Directory 中 所 有 的 信息 对 所 有 域 控制 器 和 网 络 中 的 客户 端 
都 可 用 。 

Active Directory 大 多 使 用 多 主机 复制 模式 。 在 多 主机 复制 模式 下 ,每 个 Windows 
2003 域 需要 一 个 或 多 个 域 控 制 器 。 每 个 域 控制 器 存储 了 一 个 可 写 的 本 地 Active 
Directory 数据 库 副 本 ,并 负责 管理 对 该 目录 副本 的 修改 和 更 新 。 如 果 用 户 或 管理 员 更 新 
了 某 个 域 控制 器 上 的 目录 , 则 该 更 新 信息 将 会 复制 到 本 域 中 所 有 其 他 的 域 控 制 器 中 去 。 
然而 在 Active Directory 同步 更 新 前 的 一 段 时 间 内 ,各 个 域 控制 器 可 能 会 保存 不 同 的 
信息 。 


3. 单 主机 操作 


操作 主机 是 指 在 Active Directory 域 或 目录 林 中 配备 了 一 个 或 多 个 单 主机 操作 角色 
的 域 控制 器 。 它 负责 执行 例如 在 目录 林 中 添加 域 或 删除 域 之 类 的 操作 ,这 类 操作 不 允许 
在 不 同 的 域 控 制 器 上 同时 发 生 。 单 主机 操作 角色 如 下 。 

(1) 架构 主机 。 用 于 控制 目录 林 中 所 有 对 架构 的 更 新 。 

(2) 域 命名 主机 。 用 于 控制 在 目录 林 中 域 的 添加 或 删除 。 

(3) RID 主机 。 用 于 为 本 域 中 的 每 个 域 控制 器 分 配 相 对 标识 (RID) 序 列 。 

(4) PDC 仿真 主机 。 类 似 于 Windows NT 4.0 中 的 主 域 控制 器 (PDC)。 

(5) 结构 主机 。 用 于 在 组 成 员 身份 发 生变 化 时 更 新 组 到 用 户 的 关系 ,并 将 这 些 更 新 
信息 复制 到 域内 的 其 他 控制 器 。 

同一 个 时 间 内 ,整个 林 中 只 能 有 一 个 架构 主机 、 一 个 域 命名 主机 ,这 两 个 角色 默认 由 
林 根 域内 的 第 一 台 域 控制 器 所 扮演 。 而 每 个 域 中 只 能 有 一 个 RID 主机 、 一 个 PDC 仿真 
主机 和 一 个 结构 主机 ,这 3 个 角色 默认 由 该 域内 的 第 一 台 域 控制 器 所 扮演 。 
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4.4.2 站 点 


站 点 由 一 个 或 多 个 高 速 连接 的 IP 子 网 组 成 。 通 过 定义 站 点 可 以 配置 对 活动 目录 复 
制 和 访问 的 拓扑 路 径 , Windows Server 2003 可 以 使 用 最 高 效 的 链接 和 调度 方法 对 复制 
和 登录 的 流量 进行 控制 。 

一 般 来 说 ,一 个 LAN 内 的 各 个 子 网 之 间 的 连接 速度 都 够 快 且 可 靠 性 高 ,因此 ,可 以 
将 一 个 LAN 规划 为 一 个 站 点 ;而 WAN 内 的 各 个 LAN 连接 速度 都 不 够 快 ,因此 WAN 
之 间 的 各 个 LAN 应 该 规划 为 不 同 的 站 点 ,如 图 4-27 所 示 。 
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站 点 : 郑州 
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图 4-27 站 点 结构 


为 什么 要 建立 站 点 呢 ? 主要 有 以 下 两 个 目的 。 

(1) 优化 复制 流量 。 

如 果 一 个 域 的 多 台 域 控制 器 分 布 于 不 同 的 站 点 内 ,而 这 些 站 点 之 间 是 慢 速 连接 在 一 
起 ,在 各 个 域 控制 器 之 间 复 制 活动 目录 数据 时 ,必须 认真 计划 复制 的 时 段 ,尽量 避 开 高 峰 
时 间 ,复制 的 频率 也 不 要 太 高 ,以 免 长 时 间 占 用 站 点 之 间 的 带宽 ,影响 站 点 之 间 其 他 数据 
的 传输 效率 。 

同一 个 站 点 内 的 各 个 域 控制 器 ,由 于 是 高 速 连接 在 一 起 ,在 复制 活动 目录 数据 时 ,可 
以 有 效 地 快速 地 复制 。 活 动 目录 会 自动 设置 在 同一 站 点 内 、` 隶 属于 同一 个 域 的 域 控制 器 
之 间 执 行 复制 的 频率 ,其 默认 的 复制 频率 比 站 点 之 间 的 复制 要 高 。 

为 了 避免 长 时 间 占 用 站 点 之 间 的 带宽 ,影响 站 点 之 间 其 他 数据 的 传输 效率 ,位 于 不 同 
站 点 内 的 域 控制 器 之 间 复 制 的 数据 会 被 压缩 ,而 同一 站 点 内 的 域 控制 器 之 间 复 制 的 数据 
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不 会 被 压缩 。 
(2) 为 用 户 连接 到 域 控制 器 上 进行 登录 和 认证 提供 一 个 可 靠 的 、 高 质量 的 网 络 连接 。 
Active Directory 的 逻辑 结构 和 物理 结构 相互 独立 。 站 点 反映 了 网 络 的 物理 结构 , 域 
反映 了 网 络 的 逻辑 结构 。 在 Active Directory 中 ,每 个 站 点 可 能 会 包含 多 个 域 ,而 每 个 域 
内 的 计算 机 也 可 能 同时 分 别 属于 多 个 不 同 的 站 点 。 


4.5 在 Active Directory 中 发 布 资源 


可 以 在 Active Directory 中 建立 一 个 对 象 ,使 用 户 能 够 方便 地 查找 需要 经 常 访问 的 资 
源 , 例 如 共享 文件 夹 ,发布 的 打印 机 等 。 


4.5.1 发 布 资源 介绍 


发 布 资源 就 是 指 在 Active Directory 中 建立 对 象 , 该 对 象 直 接 包 含 需要 的 信息 ,或 者 
提供 对 这 种 信息 的 引用 。 用 户 对 象 包含 用 户 信息 , 如 用 户 的 电话 号 码 和 电子 邮件 地 址 。 
共享 文件 夹 对 象 包含 对 网 络 中 计算 机 的 共享 文件 夹 的 引用 。 

只 有 在 资源 所 包含 的 信息 对 用 户 非 常 有 用 ,或 者 用 户 要 求 能 够 更 方便 ,快捷 地 访问 这 
些 资源 时 ,该 资源 才 需 要 在 Active Directory 中 发 布 ,例如 发 布 共 享 打 印 机 ,共享 文件 夹 
等 。 不 需要 发 布 Active Directory 中 已 存在 的 资源 ,如 用 户 账户 、 计 算 机 账户 。 通 常 发 布 
相对 来 说 较 少 改变 的 信息 ,这 样 可 以 大 大 减少 网 络 中 的 流量 。 

一 旦 在 Active Directory 中 发 布 了 资源 ,即使 资源 的 物理 位 置 发 生变 化 ,用 户 不 需要 
任何 操作 就 可 以 继续 访问 该 资源 。 例 如 ,如 果 管 理 员 改 变 某 个 共享 文件 夹 的 位 置 , 则 已 发 
布 的 共享 文件 夹 的 快捷 方式 将 继续 有 效 ,因为 已 发 布 的 共享 文件 夹 仅 仅 是 包含 对 共享 文 
件 夹 本 身 的 引用 。 


4.5.2 发 布 和 管理 打印 机 


域内 的 Windows Server 2003、Windows XP Professional 或 Windows 2000 计算 机 上 
安装 的 共享 打印 机 ,默认 会 自动 发 布 到 Active Directory 内 ,但 早期 版 本 的 Windows 系统 
(例如 Windows NT 4.0) 上 的 打印 机 必须 手动 发 布 。 


1. 控制 Windows Server 2003 上 的 打印 机 发 布 


如 果 要 自行 设置 是 否 发 布 Windows Server 2003 上 的 打印 机 ,操作 步骤 为 : 单 击 “ 开 
始 ”>“ 打 印 机 和 传真 ”, 右 击 打印 机 一 “属性 ”, 在 图 4-28 中 单 击 “ 共 享 ”选项 卡 , 选 中 或 取 
消 “ 列 入 目录 ” 复 选 框 。 

也 可 以 通过 “Active Directory 用 户 和 计算 机 ”来 查看 被 发 布 的 打印 机 ,在 图 4-29 中 ， 
单 击 “ 查 看 ”一 “用 户 、 组 和 计算 机 作为 容器 ”命令 , 单 击 安装 有 打印 机 的 计算 机 (例如 
Server01) 后 ,就 可 以 看 到 被 发 布 的 打印 机 ,如 图 4-30 所 示 。 


Windows 


4-29 ”Active Directory 用 户 和 计算 机 


提示 : 如 果 要 取消 Windows Server 2003、Windows XP Professional 或 Windows 
2000 计算 机 上 的 自动 发 布 共享 打印 机 的 功能 ,可 以 通过 组 策略 中 的 “计算 机 配置 ”一 “ 管 


理 模 板 ”>“ 打 印 机 ”, 自 动 在 Active Directory 上 公布 新 的 打印 机 。 通 过 配置 组 策略 ,可 
以 取消 整个 域 或 某 个 OU 内 的 计算 机 自动 发 布 共享 打印 机 的 功能 。 
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图 4-30 已 被 发 布 的 打印 机 


2. 一 般 的 打印 机 位 置 查找 功能 


如 果 为 每 一 台 打印 机 都 设置 “位 置 属 性 的 值 ,用 户 就 可 以 通过 “位 置 ” 属 性 来 查找 位 
于 指定 “位 置 ?的 打印 机 。 在 图 4-31 中 ,打印 机 位 置 被 设置 为 "XYZ 公司 1 号 楼 ”, 则 用 户 
可 以 通过 指定 “位 置 ?来 查找 位 于 *XYZ 公司 1 号 楼 ”的 打印 机 ,如 图 4-32 所 示 。 


图 4-31 指定 打印 机 的 位 置 
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馈 查 找 打印 机 


图 4-32 查找 打印 机 


在 设置 打印 机 的 “位 置 属 性 时 ,建议 采用 类 似 *XYZ 公司 1 号 楼 ”“XYZ 公司 2 号 
楼 ”的 格式 ,让 用 户 在 查找 打印 机 时 更 为 方便 。 

(1) 如 果 用 户 要 查找 位 于 “XYZ 公司 1 号 楼 ?内 的 打印 机 时 ,只 需要 在 “位 置 " 处 输入 
“XYZ 公司 1 号 楼 ” 即 可 。 

(2) 如 果 用 户 要 查找 同时 位 于 “XYZ 公司 1 号 楼 ”和 “XYZ 公司 2 号 楼 ”的 打印 机 时 ， 
用 户 在 位置? 处 输入 XYZ 后 ,系统 就 会 为 用 户 同时 查找 位 于 “XYZ 公司 1 号 楼 ”和 “XYZ 
公司 2 号 楼 ”内 的 打印 机 。 


4.5.3 发布 和 管理 共享 文件 夹 


将 共享 文件 夹 发 布 到 Active Directory 后 , 域 中 的 用 户 就 可 以 通过 Active Directory 
方便 地 查找 ,访问 这 个 共享 的 资源 。 必 须 是 Domain Admins 或 Enterprise Admins 组 内 
的 用 户 , 或 是 被 赋予 权限 ,才能 发 布 共 享 文件 夹 。 

要 将 计算 机 Server01 内 的 共享 文件 夹 “C:\ 公 用 文档 ”发 布 到 “业务 部 ”OU 内 ,操作 
步骤 如 下 。 

(1) 打开 “资源 管理 器 ”, 将 “C:\ 公 用 文档 "文件 夹 设 为 共享 文件 夹 ,假设 共享 名 为 “ 公 
用 文档 ”。 

(2) 打开 “Active Directory 用 户 和 计算 机 ”, 在 如 图 4-33 所 示 的 对 话 框 中 , 右 击 人事 
部 ”, 在 弹出 的 快捷 菜单 中 选择 “新 建 ”>“ 共 享 文件 夹 ” 命 令 。 

(3) 在 图 4-34 中 ,输入 欲 发 布 的 共享 文件 夹 的 名 称 ,并 在 “网 络 路 径 ” 中 输入 此 共享 
文件 夹 的 UNC 路径 ,例如 \\server01\ 公 用 文档 。 
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图 4-34 指定 要 发 布 的 共享 文件 夹 的 名 称 和 路 径 


(4) 在 图 4-35 中 , 右 击 “ 公 用 文档 ”, 在 弹出 的 快捷 菜单 中 选择 “属性 ”, 在 弹出 的 图 中 
单 击 “ 关 键 字 ”按钮 。 

(5) 在 图 4-36 中 ,添加 关键 字 , 单 击 “ 确 定 ” 按 钮 。 

(6) 返回 图 4-35, 单 击 “ 确 定 ” 按 钮 。 


《Windows 


图 4-36 ”添加 关键 字 


4.5.4 查找 Active Directory 内 的 资源 
域 中 的 用 户 ( 包 括 系统 管理 员 ) 可 以 通过 多 种 方法 来 查找 发 布 在 Active Directory 内 
的 资源 ,利用 “Active Directory 用 户 和 计算 机 ”“ 网 上 邻居 ”是 最 常用 的 两 种 方法 。 
1.“Active Directory 用 户 和 计算 机 ” 


“Active Directory 用 户 和 计算 机 ”管理 单元 的 位 置 如 下 。 
(1) 域 控 制 器 。 单 击 “ 开 始 ” 一 “管理 工具 ”>“Active Directory 用 户 和 计算 机 ”。 
(2) 成 员 服 务 器 或 Windows XP Professional。 必 须 运行 Windows 安装 光盘 的 1386 
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文件 夹 内 的 ADMINPAK. MSI 来 安装 这 个 管理 工具 或 者 手工 添加 这 个 管理 单元 。 

要 利用 “Active Directory 用 户 和 计算 机 ”管理 单元 来 查找 共享 文件 夹 , 可 在 如 图 4-37 
所 示 对 话 框 中 , 右 击 域名 称 ,在 弹出 的 快捷 菜单 中 选择 “查找 ”, 在 弹出 图 中 的 “查找 ”下 拉 
框 中 选择 “共享 文件 夹 ”, 并 设置 查找 的 条 件 ( 例 如 ,输入 共享 文件 夹 的 “关键 字 ”) , 单 击 “ 开 
始 查 找 ” 按 钮 。 


Default container fo 
Defoult container fo 
Defanlt container fo. 

Default container fo 


4-37 指定 要 查找 的 共享 文件 夹 的 条 件 


在 图 4-38 中 ,通过 右 击 查找 到 的 共享 文件 夹 来 管理 或 访问 此 共享 文件 夹 ,或 是 直接 
双击 来 浏览 里 面 的 内 容 。 


2. 网 上 邻居 


(1) 通过 自 定义 桌面 项 目 , 使 桌面 上 显示 “网 上 邻居 "图标 。 操 作 步 又 如 下 : 右 击 “ 桌 
面 " 一 “属性 ”一 “桌面 "选项 卡 一 * 自 定义 桌面 ”, 在 “常规 ”选项 卡 中 选中 “网 上 邻居 ”, 单 击 
“确定 ”按钮 。 

(2) 打开 “网 上 邻居 ”, 选 择 “ 工 具 ” 菜 单一“ 文件 夹 选项 ”一 “常规 ”选项 卡 , 选 择 “ 在 文 
件 夹 中 显示 常见 任务 ” 单 选 按 钮 , 单 击 “ 确 定 ” 按 钮 。 

(3) 在 图 4-39 中 , 单 击 “ 搜 索 Active Directory”, 在“ 查找” 下拉 框 中 选择 “共享 文 
件 夹 ”。 
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图 4-39 搜索 Active Directory 中 已 发 布 的 共享 文件 夹 


第 5 章 账户 管理 


学 习 目 标 

学 习 完 本 章 后 ,了 解 用 户 账户 、 组 账户 和 计算 机 账户 的 功能 。 掌 握 本 地 用 户 账户 和 域 
用 户 账户 的 区 别 , 并 学 会 创建 和 管理 本 地 用 户 账户 和 域 用 户 账户 。 掌 握 用 户 配 置 文件 、 主 
文件 夹 的 配置 、 使 用 方法 。 理 解 工作 组 中 的 组 和 域 中 的 组 的 区 别 ,特别 是 要 理解 域 中 的 组 
的 类 型 和 作用 域 , 并 掌握 使 用 域 中 的 组 的 策略 。 


5.1 账户 概述 


网 络 中 的 每 个 用 户 都 应 该 有 一 个 用 户 账户 ,以 便利 用 这 个 用 户 账户 登录 到 域 或 本 地 
计算 机 ,从 而 访问 域 中 的 资源 或 者 访问 本 地 计算 机 上 的 资源 。 

组 是 用 户 账户 的 集合 。 管 理 员 可 以 先 将 一 组 用 户 账户 添加 为 某 个 组 的 成 员 ,然后 一 
次 性 为 该 组 授予 访问 共享 资源 的 权限 ,这 时 该 组 内 的 用 户 就 会 自动 拥有 授予 组 的 权限 , 管 
理 员 不 必 为 每 个 用 户 单独 授予 权限 ,这 样 就 简化 了 对 用 户 账户 的 管理 。 根 据 管理 任务 的 
需要 ,管理 员 还 可 以 将 计算 机 或 者 组 添加 为 组 的 成 员 。 

Active Directory 使 用 计算 机 账户 来 发 布 关于 网 络 中 的 工作 站 ,成 员 服 务 器 和 域 控制 
器 等 计算 机 的 一 般 信息 (例如 计算 机 的 位 置 ) ,并 确保 系统 安全 。 当 管理 员 要 增加 、 删 除 计 
算 机 或 者 对 目录 进行 修改 时 可 能 会 用 到 计算 机 账户 。 


5.2 用户 账户 类 型 


Windows Server 2003 所 支持 的 用 户 账户 类 型 有 以 下 两 种 。 

(1) 域 用 户 账户 。 域 用 户 账户 存储 在 域 控制 器 的 Active Directory 数据 库 内 。 用 户 
可 以 利用 域 用 户 账户 登录 到 域 以 访问 网 络 资 源 。 用 户 只 需要 一 个 用 户 账户 和 密码 就 能 访 
问 域 中 任何 计算 机 上 的 资源 。 

当 用 户 利用 域 用 户 账户 登录 时 ,这 个 账户 数据 会 被 送 到 域 控制 器 ,并 由 域 控制 器 检查 
用 户 输入 的 账户 名 称 和 密码 是 否 正确 。 

在 某 台 域 控制 器 上 创建 一 个 用 户 账户 后 ,这 个 账户 会 被 自动 复制 到 同一 个 域内 的 其 
他 所 有 域 控制 器 内 。 当 用 户 登 录 时 ,该 域内 的 所 有 域 控制 器 都 可 以 检查 用 户 输入 的 账户 
名 称 与 密码 是 否 正确 。 

(2) 本 地 用 户 账户 。 本 地 用 户 账户 是 创建 在 非 域 控制 器 的 “本 地 安全 账户 数据 库 ” 
内 ,而 不 是 域 控 制 器 的 Active Directory 数据 库 内 。 

用 户 可 以 利用 本 地 用 户 账 户 登 录 到 该 账户 所 驻 留 的 计算 机 ,而 且 这 个 账户 只 能 够 访 
问 这 台 计 算 机 上 的 资源 ,而 无 法 访问 其 他 计算 机 上 的 资源 。 如 果 要 访问 其 他 计算 机 上 的 
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资源 , 则 必须 输入 访问 其 他 计算 机 的 账户 名 称 和 密码 。 

本 地 用 户 账户 只 存在 于 这 台 计 算 机 内 ,它们 既 不 复制 到 域 控制 器 的 活动 目录 ,也 不 会 
被 复制 到 其 他 计算 机 的 “本 地 安全 账户 数据 库 ” 内 。 

当 用 户 利用 本 地 用 户 账户 登录 时 ,由 这 台 计 算 机 的 “本 地 安全 账户 数据 库 ” 检 查账 户 
名 称 与 密码 是 否 正确 。 

除了 本 地 用 户 账户 和 域 用 户 账户 外 ,Windows Server 2003 在 安装 完毕 后 还 会 自动 
创建 一 些 内 置 的 用 户 账 户 , 常 见 的 有 两 个 。 

(1) Administrator。Administrator 账户 拥有 管理 域 或 本 地 计算 机 最 高 的 权限 。 从 
安全 的 角度 考虑 ,管理 员 可 以 更 改 该 账户 的 名 称 ,但 是 无 法 删除 该 账户 。 

(2) Guest。Guest 账户 只 有 临时 访问 网 络 资源 的 最 小 权限 ,这 个 账户 通常 提供 给 临 
时 需要 登录 计算 机 的 用 户 使 用 。 管 理 员 可 以 更 改 该 账户 的 名 称 , 但 是 无 法 删除 该 账户 。 
该 账户 默认 是 禁用 的 。 

需要 说 明 的 是 ,本 地 的 Administrator 和 Guest 用 户 账户 驻 留 在 本 地 安全 账户 数据 库 
内 , 域 中 的 Administrator 和 Guest 用 户 账户 驻 留 在 Active Directory 数据 库 内 。 


5.3 ”用 户 账户 和 密码 的 命名 约定 


等 理 员 在 创建 用 户 账户 时 ,需要 遵守 网 络 上 已 经 使 用 的 约定 和 注意 事项 ,这 样 可 以 更 
方便 地 创建 .管理 用 户 账 户 。 


1. 账户 的 命名 约定 


账户 的 命名 约定 确定 了 如 何在 域 中 或 本 地 计算 机 上 命名 .识别 用 户 账户 。 使 用 一 致 
的 命名 约定 可 以 使 管理 员 或 用 户 更 容易 识别 创建 的 用 户 账 户 名 并 方便 以 后 的 查找 ,账户 
的 命名 约定 如 下 。 

(1) 账户 名 必须 唯一 , 即 域 用 户 账户 的 用 户 登 录 名 、 全 称 在 该 用 户 账户 所 在 的 域 里 必 
须 是 唯一 ,本 地 用 户 账户 的 用 户 名 在 创建 该 本 地 用 户 账户 的 计算 机 上 必须 唯一 。 

(2) 账户 名 不 分 大 小 写 。 

(3) 账户 名 最 多 可 以 包含 20 个 大 、 小 写字 符 , 输 入 时 可 以 超过 20 个 字符 ,但 只 识别 
前 20 个 字符 。 

(4) 可 以 使 用 字母 .数字 和 特殊 字符 的 组 合 来 唯一 地 识别 用 户 账户 ,但 不 能 包含 这 些 
特殊 字符 : "/ 八 []:;，|= ,十 *?<>。 

(5) 账户 名 不 能 与 组 名 相同 。 

2. 密码 的 命名 约定 

网 络 中 的 每 个 用 户 都 要 认识 到 设置 复杂 密码 的 重要 性 ,树立 使 用 复杂 密码 的 意识 ,这 
有 助 于 防止 未 经 授权 的 个 人 登录 到 域 或 本 地 计算 机 。 密 码 的 命名 约定 如 下 。 

(1) 管理 员 账 户 的 密码 必须 足够 复杂 ,防止 未 经 授权 的 访问 。 

(2) 确定 是 由 管理 员 还 是 由 用 户 来 管理 密码 ,最 好 由 用 户 来 管理 自己 的 密码 。 
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(3) 使 用 难以 被 猜 到 的 长 密码 ,最 多 可 以 有 128 个 字符 ,推荐 使 用 至 少 8 个 字符 的 
密码 。 

(4) 密码 要 使 用 大 、 小 写字 母 .数字 和 特殊 字符 的 组 合 ,如 果 密 码 内 包含 英文 字母 ,要 
区 分 大 小 写 , 例 如 abc 与 ABC 是 不 同 的 密码 。 

(5) 避免 使 用 有 明显 关联 的 密码 ,例如 电话 号 码 名字、 生日 等 。 

(6) 管理 员 最 好 通过 配置 组 策略 中 的 密码 策略 来 强制 用 户 使 用 复杂 的 密码 。 


5.4 本 地 用 户 账户 


只 在 Windows 2003/2000/NT 独立 服务 器 或 成 员 服务 器 、Windows XP/2000 
Professional、Windows XP Home Edition、Windows NT Workstation 等 未 加 入 域 的 计算 
机 内 创建 本 地 用 户 账户 ,本 地 用 户 账户 驻 留 在 这 些 计 算 机 的 本 地 安全 账户 数据 库 内 。 

利用 本 地 用 户 账户 只 能 登录 到 此 账户 所 在 的 计算 机 ,并 且 只 能 访问 这 台 计 算 机 内 的 
资源 ,无 法 访问 网 络 上 其 他 计算 机 内 的 资源 。 


1. 创建 本 地 用 户 账户 


在 Windows Server 2003 计算 机 中 ,创建 本 地 用 户 账户 的 步 又 为 : 单 击 *“ 开 始 ”, 右 击 
“我 的 电脑 ”一 “管理 ”, 或 者 单 击 “ 开 始 ” 一 “管理 工具 ”一 “计算 机 管理 ”, 展 开 “ 计 算 机 管 
理 ”>“ 系 统 工具 ”>“ 本 地 用 户 和 组 ”一 “用 户 ”, 右 击 * 用 户 ”>“ 新 用 户 ”, 如 图 5-1 所 示 。 


文件 人。 换 作 (A) 查看 9 窗口 Ww) 入 肋 (d) | 下 
EECIRETTE 
计算 机 管理 (本 地 ) 
系统 工具 
由 全 事件 查 看 器 
由 国共 享 文件 详 
日 号 本 地 用 户 和 姐 
了 


管理 计算 机 ( 域 ) 的 内 置 账户 


Guest 供 来 喜 访 问 计算 机 或 访问 域 的 内 ，… 
lHelpAssistank 。 运程 点 面 助手 账户 提供 运程 协助 的 账户 
IT_38..， CN=Microsoft Corporation..， 这 是 一 个 帮助 和 支持 服务 的 提供 ,,， 


处 户 。 T | 各 | 回 :| 
NI [EA 


图 5-1 创建 本 地 用 户 账户 


在 图 5-2 中 ,输入 并 设置 账户 的 相关 信息 后 , 单 击 “ 创 建 ? 按 钮 。 创 建 好 本 地 用 户 账户 
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后 ,就 可 以 利用 此 账户 登录 到 本 地 计算 机 了 。 


有 管 码 外 对 期 他 
厂 账 户 已 禁用 @) 


[aew ] _xao | 
图 5-2 指定 新 用 户 的 信息 


关于 更 多 的 账户 信息 选项 ,如 表 5-1 所 示 。 


表 5-1 账户 信息 选项 


选 项 描 述 
用 户 名 登录 计算 机 时 要 使 用 的 账户 登录 名 称 
全 名 用 户 的 完整 名 称 
描述 用 来 描述 用 户 的 说 明 性 文字 
密码 ,确认 密码 输入 用 户 账户 的 密码 ,并 再 次 输入 密码 以 确认 两 次 输入 的 密码 是 否 一 致 
用 户 下 次 登录 时 须 更 | 用 户 下 次 登录 时 ,系统 显示 一 个 强制 用 户 更 改 密码 的 对 话 框 。 管 理 员 事先 已 
改 密码 经 为 用 户 创建 了 账户 并 预 置 了 密码 ,此 项 可 以 确保 用 户 使 用 最 新 的 密码 
用 户 不 能 更 改 密码 At 若是 多 人 使 用 一 个 账户 ,可 避免 密码 被 其 中 一 个 用 户 
选择 选项 后 ,系统 不 会 要 求 该 用 户 更 改 密码 ,即使 在 “账户 策略 ”的 “密码 最 长 
密码 永 不 过 期 有 效 期 "中 设置 所 有 用 户 必 须 定期 更 改 密码 ,也 不 会 要 求 这 个 用 户 更 改 密码 
(系统 默认 是 42 天 更 改 密码 ) 
账户 已 禁用 防止 用 户 利用 此 账户 登录 。 可 以 利用 此 项 设置 某 个 长 期 出 差 的 员工 的 账户 、 
临时 不 用 的 用 户 账户 . 尚 没 启用 的 用 户 账户 的 状态 为 禁用 
提示 : 


(1) 用 户 无 法 在 域 控制 器 内 创建 本 地 用 户 账 户 。 
(2) 默认 情况 下 ,使 用 空白 密码 的 用 户 只 能 够 登录 到 本 地 计算 机 ,无 法 通过 网 络 登录 


到 其 他 计算 机 。 


2. 修改 本 地 用 户 账户 信息 


如 果 要 修改 本 地 用 户 账 户 的 登录 名 称 ,只 要 右 击 该 账户 ,选择 “ 重 命 名 ” 即 可 。 如 果 要 
更 改 本 地 用 户 账户 的 密码 ,可 以 在 登录 后 按 Ctrl 十 Alt 十 Del 组 合 键 ,如 图 5-3 所 示 , 输 入 
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正确 的 旧 密 码 后 ,然后 再 设置 新 密码 。 若 要 修改 本 地 用 户 账户 的 其 他 信息 ,只 要 右 击 该 账 
户 , 选 择 “ 属 性 ” 即 可 。 


F Windows Server2003 
Enterprise Edition 


地 
Cae |] ws | 
图 5-3 修改 本 地 用 户 账户 密码 


5.5 域 用 户 账户 


利用 “Active Directory 用 户 和 计算 机 ?管理 单元 ,管理 员 可 以 在 任何 一 个 容器 或 者 组 
织 单位 (OU) 内 创建 域 用 户 账户 。 


5.5.1 创建 域 用 户 账户 


先 创 建 一 个 名 称 为 “市 场 部 ”的 组 织 单位 ,然后 在 此 组 织 单位 内 创建 一 个 域 用 户 账户 
cuijiantao ,操作 步骤 如 下 。 

(1) 打开 “Active Directory 用 户 和 计算 机 ”一 右 击 域名 (例如 xyz. net) 一 “新 建 > 一 
“组 织 单位 ”~ 输入 组 织 单位 的 名 称 ( 例 如 市 场 部 ) 。 

(2) 在 图 5-4 中 , 右 击 “市 场 部 ”, 在 弹出 的 快捷 菜单 中 选择 “新 建 ” 一 “用 户 ” 命 令 。 

(3) 在 图 5-5 中 ,输入 相关 的 账户 信息 后 , 单 击 “下 一 步 ? 按 钮 。 

域 用 户 账户 的 信息 如 表 5-2 所 示 。 

表 5-2 域 用 户 账户 的 信息 


选 项 描 述 
姓 、 名 在 这 两 个 文本 框 中 至 少 输入 一 项 数据 
姓名 用 户 的 完整 姓名 ,默认 是 姓 与 名 的 组 合 
用 户 登录 域 时 所 使 用 的 名 称 ,也 就 是 用 户主 体 名 称 (UPN)。 在 Windows 
用 户 登 录 名 Server 2003、Windows XP Professional、Windows 2000 等 计算 机 登录 域 时 使 


用 这 个 名 称 。 在 整个 域 目 录 林 内 ,这 个 名 称 必须 是 唯一 的 。 

这 个 名 称 是 供 Windows 2000 以 前 版 本 的 客户 端 使 用 的 ,例如 Windows 
NT、Windows 98 等 ,用 户 在 这 些 计算 机 上 登录 时 ,必须 使 用 这 个 名 称 。 在 
同一 个 域内 ,这 个 名 称 必须 是 唯一 的 


用 户 登 录 名 (Windows 
2000 以 前 版 本 ) 


《Windows 


此 渴 芽 中 没有 可 显示 的 7 项 目 = 


5-4 新 建 域 用 户 账户 


新 建 对 象 - 用 户 


图 5-5 指定 域 用 户 账 户 信息 


(4) 在 图 5-6 中 ,设置 好 相应 的 选项 后 , 单 击 * 下 一 步 按 钮 即 可 完成 域 用 户 账 户 的 
创建 。 

提示 : 在 Windows Server 2003 域 中 ,默认 情况 下 所 有 用 户 账户 的 密码 必须 至 少 7 个 
字符 ,并 且 不 可 以 包含 用 户 账户 名 称 的 全 部 或 部 分 文字 ,至 少 要 包含 A 一 Za 一 z.0 一 9 、 特 
殊 字符 (例如 @、!、 羊 、# 、% 等 )4 组 字符 中 的 3 组。 可 以 通过 “ 域 安全 策略 ”中 的 “密码 策 
略 ” 设 置 密码 的 复杂 性。 

创建 域 用 户 账户 后 ,就 可 以 从 隶属 于 域 的 计算 机 上 (例如 Windows XP Professional) 
利用 这 个 域 用 户 账户 登录 了 ,如 图 5-7 所 示 。 在 “登录 到 Windows” 对 话 框 中 输入 用 户 名 、 
密码 ,选择 登录 到 域 ( 例 如 ABC)。 
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5-7 ”使 用 域 用 户 账户 登录 


如 果 是 在 Windows Server 2003、Windows XP Professional、Windows 2000 上 登录 
到 域 ,还 可 以 输入 用 户主 体 名 称 (UPN) 和 密码 登录 ,如 图 5-8 所 示 。 


5.5.2 设置 域 用 户 账户 的 属性 


网 络 中 的 用 户 可 以 通过 域 用 户 账户 的 地 址 、 电 话 、 电 子 邮 件 等 属性 信息 查找 活动 目录 
内 的 用 户 。 

打开 “Active Directory 用 户 和 计算 机 ”管理 单元 , 右 击 用 户 账户 ,在 账户 “属性 ”对 话 
框 中 ,可 以 设置 域 账户 的 属性 。 域 用 户 账户 的 属性 有 很 多 ,下 面 仅 介绍 主要 属性 。 


Lr 
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登录 到 Windows 


In 
| 


用 户 名 QD: |cuijiantaoBxyz. net 
密码 @) Perr 
登录 到 QD): wz 
口 合 用 所 号 网 络 连 接 登 录 四 ) 


取消 ”] [关机 GD) ] [选项 @ <<] 


图 5-8 使 用 用 户主 体 名 称 登录 


1. 用 户 个 人 信息 的 设置 


用 户 个 人 信息 在 账户 属性 对 话 框 中 的 "常规 “地 址 ?"“ 电 话 ?”“ 单 位 ”等 选项 卡 内 设 
置 ,在 图 5-9 中 用 圆圈 标记 。 


2. 账户 信息 的 设置 


账户 信息 在 “账户 属性 ?对 话 框 的 “账户 ”选项 卡 内 设置 ,如 图 5-10 所 示 。 其 中 大 部 分 
信息 与 本 地 用 户 账户 相同 。 在 此 仅 介绍 “账户 过 期 ”属性 , 它 用 来 设置 账户 过 期 的 日 期 , 默 
认为 账户 永 不 过 期 。 要 设置 账户 过 期 的 截止 日 期 , 单 击 “账户 ?选项 卡 一 “账户 过 期 ”, 单 击 
“在 这 之 后 ”, 选 择 一 个 截止 日 期 , 单 击 “ 确 定 ”按钮 。 
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了 引导 
挤 和 | 环境 | | 远程 控制 | 终端 服务 配置 文件 | co | 
第 规 “| 地 址 | 本 村 文件 | 电话 “| 单位 。 | 录 悍 于 | 
用 户 登 录 名 中- 

[riiiataq srt 可 
用 户 登录 名 (findovs 2000 以 前 版 本 ) 他 ) 
3 [iiimte 
[二 
账户 选项 四 ): 
厂 用 户 下 次 登录 时 项 更 改 密码 到 
厂 用 户 不 能 更 改 密码 
厂 密码 永 不 过 其 
厂 使 用 可 地 的 加 密 保存 密码 司 
账户 过 其 
人 永 不 过 期 
个 在 这 之 后 @@); |2007 年 9 月 15 日 | 


图 5-10 “账户 ”选项 卡 


3. 登录 时 间 的 设置 


登录 时 间 用 来 设置 用 户 登 录 到 域 的 时 间 。 默 认 任 何 时 间 都 可 以 登录 到 域 。 要 更 改 登 
录 时 间 设 置 ,在 图 5-10 中 单 击 * 登 录 时 间 ? 按 钮 ,将 出 现 图 5-11。 


加 
人 2.4.6°.8 a 
取消 | 
人 允许 登录 @) 
| 个 拒绝 登录 四) 


星期 日 至 星期 六 从 0:00 点 到 0:00 点 


5-11 登录 时 间 


在 图 5-11 中 , 横 轴 每 一 方块 代表 一 小 时 , 纵 轴 每 一 方块 代表 一 天 , 蓝 色 方 块 表 示人 允许 
用 户 登 录 , 白 色 方 块 表示 拒绝 用 户 登录 ,默认 是 用 户 可 以 在 任何 时 间 登 录 域 。 

要 设置 用 户 登 录 时 间 ,操作 步 又 如 下 。 

(1) 在 图 5-11 中 ,选择 时 间 段 ,方法 如 表 5-3 所 示 。 

(2) 如 果 单 击 * 人 允许 登录 ” 单 选 按钮 , 则 表示 在 步骤 (1) 内 所 选 的 时 间 允 许 用 户 登 录 ; 
如 果 单 击 “ 拒 绝 登 录 ” 单 选 按钮 , 则 表示 在 该 时 段 内 不 允许 用 户 登录 。 

(3) 完成 后 , 单 击 “确定 ”按钮 即 可 。 
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表 5-3 选择 时 间 段 的 方法 


选择 时 间 段 方 装 选择 时 间 段 方 法 

一 个 小 时 单 击 代表 该 小 时 的 方块 某 一 天 的 某 小 时 | ” 单 击 该 小 时 最 上 端的 方块 
数 小 时 从 开始 方块 拖 忠 到 结束 方块 | 整 周 单 击 左 上 角 的 “全 部 ” 
一 整 天 单 击 左 侧 的 “星期 X ”方块 


4. 设置 用 户 只 能 在 某 些 计算 机 登录 


默认 情况 下 ,用 户 可 以 在 域内 的 任何 一 台 计 算 机 登录 到 域 。 根 据 管理 的 需要 ,可 以 设 
置 用 户 只 能 在 某 些 计算 机 登录 到 域 。 

要 设置 用 户 可 以 在 哪些 计算 机 登录 ,操作 步骤 为 : 单 击 图 5-10 中 的 “登录 到 ”按钮 ， 
然后 在 图 5-12 中 ,输入 用 户 可 以 登录 的 计算 机 名 称 ( 例 如 PC01), 这 个 名 称 必须 是 
NetBIOS 计算 机 名 称 , 然 后 单 击 * 添 加 ?按钮 ,再 单 击 * 确 定 ? 按 钮 即 可 。 


站“ 计 和 机 各 ”要 中 多 入 indors 
2000 间 
此 用 户 可 以 性 录 到 |: 
个 所 有 计算 机 ) 
FF 下列 计算 机 站) 
计算 机 各 加) 
| 
ED ee 
sw | 


图 5-12 登录 的 计算 机 


5. 更 改 域 用 户 账户 


要 更 改 域 用 户 账户 的 信息 ,操作 步骤 为 : 右 击 要 更 改 的 用 户 账户 ,然后 通过 右键 菜单 
中 的 重 命名 、 删 除 、 禁 用 账户 、 启 用 账户 、 重 设 密码 与 解除 被 锁定 的 账户 等 进行 设置 ,如 
图 5-13 所 示 。 

(1) 禁用 账户 、 启 用 账户 。 例 如 , 某 个 员工 暂时 出 差 ,不 需要 使 用 公司 的 计算 机 , 则 管 
理 员 可 以 先 将 该 员工 的 账户 禁用 ,等 该 员工 回 公 司 上 班 后 ,再 启用 账户 。 禁 用 账户 后 , 则 
该 账户 的 图 标 上 会 出 现 一 个 红色 的 X 号 。 

(2) 重 命名 。 重 命名 账户 后 ,该 用 户 账户 原来 所 拥有 的 权限 、 权 利 与 组 关系 都 不 会 受 
影响 。 例 如 , 当 某 个 员工 离职 时 ,管理 员 可 以 先 将 该 员工 的 用 户 账户 禁用 ,等 到 新 进 的 员 
工 接替 他 的 工作 时 ,再 将 此 账户 重 命名 为 新 员工 的 名 称 ,并 重新 设置 密码 等 信息 。 
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图 5-13 更 改 域 用 户 账户 


(3) 删除 账户 。 如 果 某 个 员工 辞职 了 ,并 且 这 个 账户 以 后 再 也 用 不 到 时 , 则 可 以 删除 
该 账户 。 

(4) 重 设 密码 。 当 用 户 忘记 密码 或 密码 过 期 时 ,系统 管理 员 可 以 为 用 户 重 新 设置 一 
个 密码 。 

(5) 解除 被 锁定 的 账户 。 管 理 员 可 以 在 组 策略 中 设置 “账户 锁定 策略 ”定义 用 户 在 
若干 次 无 效 登录 (输入 用 户 名 、 密 码 错误 ) 之 后 将 账户 锁定 。 在 用 户 账户 被 锁定 以 后 ,管理 
员 可 以 解除 被 锁定 的 账户 : 打开 “Active Directory 用 户 和 计算 机 ”, 右 击 该 用 户 账户 一 
“属性 ”一 “账户” 选项 卡 , 取 消 “ 账 户 已 锁定 ” 复 选 框 ,如 图 5-14 所 示 。 


图 5-14 解除 被 锁定 的 账户 
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说 明 : 在 创建 一 个 用 户 账户 时 , 系统 都 会 为 其 建立 唯一 的 安全 识别 码 (SID)， 
Windows Server 2003 利用 这 个 SID 来 代表 该 用 户 , 而 权限 的 设置 等 都 是 通过 SID 设置 
的 ,并 不 是 通过 用 户 的 账户 名 称 , 例 如 , 某 个 文件 的 权限 列表 内 ,记录 的 是 哪些 SID 具备 
什么 权利 ,而 不 是 哪些 用 户 账户 名 称 具 备 何 种 权利 。 因 此 ,在 重 命名 账户 名 称 后 ,由 于 
Windows Server 2003 内 部 代表 该 用 户 的 SID 并 没有 被 改变 ,因此 其 账户 的 属性 、 权 利 与 
权限 等 都 不 变 。 在 删除 一 个 账户 后 ,即使 再 添加 一 个 相同 名 称 的 账户 ,这 个 新 账户 并 不 会 
继承 原 账户 的 权限 、 权 利 与 组 关系 。 


5.5.3 用户 配 置 文 件 


Windows 2003 要 求 访问 计算 机 的 每 个 用 户 账户 都 要 有 一 个 独立 的 用 户 配 置 文件 ,用 
户 配置 文件 包含 用 户 所 使 用 的 计算 机 的 显示 设置 .区 域 设置 .鼠标 设置 .声音 设置 网络 设 
置 以 及 打印 机 等 工作 环境 的 设置 。 用 户 的 桌面 环境 主要 由 用 户 配 置 文件 决定 。 管 理 员 可 
以 为 用 户 定制 用 户 配 置 文件 来 统一 用 户 的 桌面 环境 与 工作 环境 ,例如 ,使 用 户 在 每 次 登录 
计算 机 时 ,都 有 相同 的 桌面 .相同 的 网 络 驱动 器 .相同 的 网 络 打印 机 等 。 


1. 用 户 配置 文件 的 类 型 


用 户 配 置 文件 的 类 型 有 以 下 4 种 。 

(1) 默认 用 户 配 置 文件 。 它 是 所 有 用 户 配置 文件 的 基础 。 每 个 用 户 配置 文件 最 初 都 
是 以 默认 用 户 配 置 文件 为 基础 而 创建 的 ,默认 用 户 配置 文件 存储 在 每 台 运 行 Windows 
Server 2003 计算 机 的 %systemdrive%\Documents and Settings\Default User 文件 夹 中 。 

(2) 本 地 用 户 配 置 文件 。 用 户 第 一 次 登录 某 台 计算 机 时 ,系统 就 会 自动 为 该 用 户 在 
这 人 台 计 算 机 内 创建 一 个 本 地 用 户 配置 文件 。 当 用 户 注销 时 ,其 对 桌面 的 任何 更 改 都 会 更 
新 到 本 地 用 户 配 置 文件 内 。 下 次 用 户 登 录 时 ,就 会 应 用 这 个 更 新 过 的 本 地 用 户 配置 文件 。 

(3) 漫游 用 户 配 置 文件 。 漫 游 用 户 配 置 文件 使 域 中 的 用 户 不 论 在 域内 的 哪 一 台 计算 
机 上 登录 ,都 能 够 拥有 相同 的 桌面 设置 。 漫 游 用 户 配置 文件 由 系统 管理 员 创建 并 存储 到 
服务 器 上 。 当 用 户 注销 时 ,其 对 桌面 的 任何 更 改 都 会 更 新 到 漫游 用 户 配置 文件 中 。 下 次 
用 户 登录 时 ,就 会 应 用 这 个 更 新 过 的 漫游 用 户 配置 文件 。 

(4) 强制 用 户 配置 文件 。 强 制 用 户 配置 文件 由 系统 管理 员 事 先 创建 并 存储 在 服务 器 
上 ,用户 登录 后 可 以 更 改 其 桌面 设置 ,但 是 当 用 户 注销 时 ,对 桌面 的 这 些 更 改 并 不 会 更 新 
到 强制 用 户 配置 文件 内 。 因 此 ,用 户 每 次 登录 时 使 用 的 是 固定 不 变 的 桌面 设置 。 只 有 系 
统管 理 员 可 以 对 强制 用 户 配置 文件 的 设置 进行 更 改 。 


2. 用 户 配置 文件 的 组 成 


用 户 配 置 文件 并 不 是 单纯 的 一 个 文件 ,而 是 由 用 户 配置 文件 与 文件 夹 .NTUSER. 
DAT 文件 .All Users 文件 夹 3 个 部 分 决定 。 

1) 用 户 配 置 文件 ,文件 夹 

用 户 配置 文件 ,文件 夹 包 含 用 户 的 桌面 ,收藏 夹 . 我 的 文档 、 开 始 菜 单 等 设置 。 图 5-15 
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显示 了 用 户 cuijiantao 的 用 户 配置 文件 .文件 夹 的 内 容 。 
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图 5-15 用 户 配 置 文件 ,文件 夹 的 内 容 


关于 用 户 配置 文件 ,文件 夹 中 更 多 的 内 容 , 如 表 5-4 所 示 。 


用 户 配置 文件 文件 夹 


表 5-4 用 户 配置 文件 .文件 夹 的 内 容 
内 容 


[开始 谨 单 


[开始 语 单 内 各 程序 的 快捷 方式 


Application Data 


应 用 程序 专用 的 数据 ,例如 客户 数据 文件 。 由 应 用 程序 供应 商 决定 在 包 
含 用 户 配置 文件 的 文件 夹 中 保存 哪些 数据 


Cookies 用 户 信息 和 首选 项 

My Documents 用 户 的 个 人 文件 存储 区 

Local Settings 应 用 程序 的 相关 数据 ,历史 和 临时 文件 等 
NetHood “网 上 邻居 ”的 快捷 方式 

PrintHood 打印 机 文件 夹 的 快捷 方式 

Recent 最 近 最 常用 的 文件 与 文件 夹 的 快捷 方式 
SendTo 用 户 右 击 任何 文件 “发 送 到 ”所 出 现 的 菜单 的 快捷 方式 
Templates 用 户 模板 项 目的 快捷 方式 

收藏 夹 Internet Explorer 收藏 夹 的 快捷 方式 

我 的 最 近 文档 用 户 最 近 打 开 的 文档 

桌面 桌面 上 的 项 目 、 包 含 文件 .文件 夹 与 快捷 方式 
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2) NTUSER. DAT 文件 

NTUSER. DAT 文件 包含 注册 表 中 用 于 用 户 账 户 的 部 分 也 包含 用 户 配置 文件 设置 。 
用 户 配置 文件 内 的 当前 登录 用 户 的 环境 设置 数据 存储 在 注册 表 的 HKEY_CURRENT_ 
USER 内 ,例如 已 安装 的 软件 .桌面 网 络 连接 等 。 

3) All Users 文件 夹 

用 户 配置 文件 的 第 3 部 分 数据 存储 在 All Users 文件 夹 中 ,如 图 5-15 中 用 圆圈 标注 
的 部 分 ,登录 这 人 台 计 算 机 的 所 有 用 户 都 会 使 用 包含 在 这 个 文件 夹 内 的 [开始 荣 单 “桌面 ” 
等 设置 。 

3. 本 地 用 户 配置 文件 


当 用 户 第 一 次 登录 Windows Server 2003 计算 机 时 ,系统 就 会 自动 为 该 用 户 在 这 人 台 
计算 机 的 Documents and Settings 文件 夹 内 创建 一 个 以 用 户 账户 命名 的 “本 地 用 户 配 置 
文件 "文件 夹 ,以 用 来 存储 该 用 户 的 桌面 设置 ,其 内 容 由 复制 “默认 用 户 配 置 文件 ”文件 夹 
而 来 。 

事实 上 ,首次 登录 这 台 计 算 机 的 任何 一 个 用 户 的 桌面 环境 ,都 是 由 Default User 文件 
夹 与 All Users 文件 夹 内 的 内 容 组 合 而 成 。 当 用 户 注销 时 ,其 所 做 的 任何 设置 上 的 更 改 
都 会 存储 到 这 个 本 地 用 户 配置 文件 与 文件 夹 内 ,用 户 下 次 重新 登录 时 ,就 会 以 这 个 本 地 用 
户 配 置 文件 与 文件 夹 的 内 容 ( 组 合 All Users 文件 夹 的 内 容 ) 设 置 其 桌面 环境 。 在 整个 过 
程 中 ,Default User 文件 夹 的 内 容 并 不 会 受 任何 影响 。 

同一 个 用 户 在 不 同 的 计算 机 内 有 其 不 同 的 本 地 用 户 配 置 文件 ,一 台 计算 机 上 允许 存 
在 多 个 用 户 的 本 地 用 户 配置 文件 。 例 如 ,图 5-15 中 的 Administrator cuijiantao 等 文件 夹 
都 是 本 地 用 户 配 置 文件 ,文件 夹 。 

系统 管理 员 可 以 单 击 * 开 始 ” 一 “控制 面板 ”> 系统 ”高 级 ”> 用户 配置 文件 ”, 或 
者 单 击 “ 开 始 ”, 右 击 “ 我 的 电脑 ”属性 ”高 级 ”用户 配置 文件 ”, 查 看 当前 的 计算 机 
内 有 哪些 用 户 配置 文件 ,如 图 5-16 所 示 。 


图 5-16 查看 本 机 上 储存 的 用 户 配置 文件 
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4. 漫游 用 户 配置 文件 


漫游 用 户 配 置 文件 由 系统 管理 员 创 建 并 存储 到 服务 器 上 。 漫 游 用 户 配置 文件 使 得 域 
中 的 用 户 不 论 从 域内 的 哪 一 台 计 算 机 登录 ,都 能 够 读 取 到 这 个 用 户 配 置 文件 ,使 用 相同 的 
桌面 设置 。 当 用 户 注 销 时 ,其 对 桌面 的 任何 更 改 都 会 更 新 到 漫游 用 户 配置 文件 中 ,用 户 下 
次 重新 登录 时 ,就 会 应 用 这 个 更 新 过 的 漫游 用 户 配 置 文件 。 

如 果 用 户 要 求 无 论 从 域内 的 哪 一 台 计 算 机 登录 都 能 够 拥有 相同 的 工作 环境 ,管理 员 
就 可 以 指定 用 户 使 用 漫游 用 户 配置 文件 。 

要 指定 用 户 使 用 漫游 用 户 配置 文件 ,可 以 通过 以 下 两 种 方式 。 

(1) 给 用 户 指定 一 个 空 的 漫游 用 户 配置 文件 。 

(2) 给 用 户 指定 一 个 自 定义 的 漫游 用 户 配置 文件 。 

当 需 要 为 多 个 职责 相似 的 用 户 提供 一 个 标准 的 桌面 环境 时 ,或 者 需要 删除 用 户 不 需 
要 的 连接 和 应 用 程序 时 ,最 好 使 用 自 定义 的 漫游 用 户 配置 文件 。 

1) 给 用 户 指定 一 个 空 的 漫游 用 户 配置 文件 

假设 要 给 域 用 户 cuijiantao 指定 一 个 空 的 漫游 用 户 配 置 文件 ,并 将 这 个 漫游 用 户 配 
置 文件 存储 在 服务 器 server01 的 共享 文件 夹 User_profiles 内 , 则 操作 步骤 如 下 。 

(1) 在 服务 器 server01 上 创建 一 个 文件 夹 User_profiles ,并 设 为 共享 ,共享 名 为 
User_Profiles ,设置 Everyone 组 对 该 文件 夹 至 少 要 有 “更 改 ” 的 共享 权限 。 

(2) 利用 Domain Admins 或 者 Enterprise Admins 组 成 员 的 身份 登录 ,打开 “Active 
Directory 用 户 和 计算 机 ”, 展 开 用 户 账户 cuijiantao 所 在 的 组 织 单位 , 右 击 “ 崔 建 涛 ”一 “ 属 
性 ”, 单 击 如 图 5-17 所 示 的 “配置 文件 ?选项 卡 一 在 “配置 文件 路 径 ” 处 ,输入 漫游 用 户 配置 
文件 的 UNC 路 径 \\server01\ User_profiles\cuijiantao, 或 者 \\server01\User_profiles 
\%username%。 其 中 server01 为 服务 器 的 名 称 , User_profiles 共享 文件 夹 的 共享 名 ， 


图 5-17 输入 漫游 用 户 配置 文件 的 UNC 路 径 
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cuijiantao 为 漫游 用 户 配 置 文件 ,文件 夹 名 称 (建议 与 用 户 账户 名 称 同 名 ,该 文件 夹 不 需要 
手工 创建 ) ,可 以 使 用 变量 %username% 来 代替 输入 文件 夹 名 ,系统 会 自动 把 UNC 路 径 
中 的 %username% 兰 换 为 该 用 户 的 账户 名 。 完 成 后 , 单 击 “ 确 定 ” 按 钮 。 

完成 后 , 当 用 户 cuijiantao 从 域内 的 任何 一 台 计算 机 上 登录 时 ,系统 就 会 自动 为 该 用 
户 在 服务 器 上 创建 一 个 漫游 用 户 配 置 文件 ,文件 夹 ,不 过 此 时 该 文件 夹 中 尚未 包含 任何 内 
容 。 当 用 户 注销 时 ,其 对 桌面 设置 所 做 的 任何 更 改 ( 例 如 ,更 改 桌面 背景 ) 将 被 存储 到 该 漫 
游 用 户 配置 文件 中 ,同时 也 会 存储 到 本 地 用 户 配置 文件 中 。 以 后 该 用 户 无 论 是 从 网 络 上 
的 哪 一 台 计 算 机 登录 到 域 , 都 会 读 取 这 个 漫游 用 户 配置 文件 ,并 以 这 个 用 户 配 置 文件 的 内 
容 设置 其 桌面 环境 。 

2) 给 用 户 指定 一 个 自 定 义 的 漫游 用 户 配置 文件 

假设 要 给 域 用 户 wangwu 指定 一 个 管理 员 自 定义 的 漫游 用 户 配置 文件 ,并 将 这 个 漫 
游 用 户 配 置 文件 存储 在 服务 器 server01 的 共享 文件 夹 User_profiles 内 , 则 操作 步骤 
如 下 。 

首先 创建 一 个 自 定义 的 漫游 用 户 配置 文件 ,分 为 以 下 3 个 步骤 。 

(1) 利用 一 个 临时 的 域 用 户 账 户 ( 例 如 template, 请 事先 在 域 控制 器 上 创建 该 域 用 户 
账户 ), 从 域内 的 任何 一 台 计 算 机 (例如 pc01) 上 登录 到 域 。 成 功 登 录 后 ,系统 会 为 该 账户 
创建 一 个 本 地 用 户 配 置 文件 ,对 应 的 本 地 用 户 配置 文件 存储 在 本 地 计算 机 (例如 pc01) 
上 ,这 个 用 户 配 置 文件 将 作为 管理 员 要 自 定义 的 漫游 用 户 配 置 文件 的 基础 模板 。 

(2) 更 改 其 桌面 环境 ,例如 ,更 改 桌 面 背 景 、 网 络 驱动 器 .网 络 打印 机 、 安 装 应 用 程 
序 等 。 

(3) 注销 当前 的 用 户 ,使 这 些 更 改 存储 到 此 临时 账户 的 本 地 用 户 配置 文件 中 。 

接 下 来 ,将 创建 的 本 地 用 户 配 置 文件 复制 到 服务 器 server01 上 ,并 将 其 指定 给 用 户 
wangwu 使 用 ,操作 步骤 如 下 。 

(1) 在 服务 器 server01 上 创建 一 个 文件 夹 User_profiles, 并 设 为 共享 ,共享 名 为 
User_profiles, 设 置 Everyone 组 对 该 文件 夹 至 少 要 有 “更 改 ” 的 共享 权限 。 

(2) 利用 Domain Admins 或 Enterprise Admins 组 成 员 的 身份 ,从 域内 的 成 员 计 算 
机 (例如 pc01) 登 录 到 域 , 单 击 * 开 始 ” 盖 控制 面板 ”系统 ”一 高 级 ”, 单 击 “* 用 户 配 置 文 
件 ? 中 的 “设置 ?按钮 。 

(3) 出 现 图 5-18 时 ,选择 账户 XYZ\template, 单 击 “ 复 制 到 ”按钮 。 

(4) 出 现 图 5-19 时 ,执行 操作 如 下 。 

在 “将 配置 文件 复制 到 ”下 的 文本 框 中 输入 存储 漫游 用 户 配置 文件 的 UNC 路 径 \\ 
server01\User_profiles\wangwu, 其 中 server01 为 域 控制 器 名 称 ,User_profiles 为 共享 
文件 夹 名 称 ,wangwu 为 漫游 用 户 配 置 文件 的 文件 夹 名 称 ( 建 议 与 用 户 账户 名 称 同 名 ,该 
文件 夹 不 需要 手工 创建 )。 

@ 单 击 “ 允 许 使 用 ”内 的 “更 改 ”, 使 用 户 wangwu 有 权 访 问 此 漫游 用 户 配置 文件 、 文 
件 夹 。 

(5) 返回 “用 户 配置 文件 ”对 话 框 , 单 击 “ 确 定 ” 按 钮 即 可 。 

(6) 在 域 控制 器 server01 上 ,打开 “Active Directory 用 户 和 计算 机 ”, 展 开 用 户 账户 
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2 


rO1\ User_pr ofiles\wangru 


训 览 邓 ) 


更 改 关 型 C) 


要 自 娃 一 个 新 的 用 户 账户 ， 在 控制 面板 中 打开 用 户 帐 户 。 


LE 


图 5-18 复制 用 户 配置 文件 图 5-19 指定 复制 的 目标 路 径 


wangwu 所 在 的 组 织 单位 , 右 击 “ 王 武 ”一 “属性 ”一 “配置 文件 ”选项 卡 ,在 如 图 5-20 所 示 
对 话 框 中 的 “配置 文件 路 径 ” 处 ,输入 漫游 用 户 配 置 文件 的 UNC 路 径 \\server01\User_ 
profiles\wangwu, 或 者 \\server01\ User_profiles\%username%。 其 中 server01 为 域 控 
制 器 的 计算 机 名 称 ,User_profiles 为 共享 文件 夹 的 共享 名 ,wangwu 为 漫游 用 户 配 置 文件 
的 文件 夹 名 称 。 可 以 使 用 变量 %username% 来 代替 输入 文件 夹 名 ,Windows 2003 会 自 
动 把 UNC 路 径 中 的 %username% 替 换 为 该 用 户 的 账户 名 

Ca 


入 | 


5-20 ”输入 用 户 配置 文件 的 路 径 


(7) 完成 后 , 单 击 “ 确 定 ” 按 钮 。 
当 用 户 wangwu 从 域内 的 任何 一 台 计 算 机 登录 到 域 时 ,就 会 自动 读 取 存 储 在 服务 器 
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上 的 user_profiles 共享 文件 夹 中 的 漫游 用 户 配 置 文件 ,并 以 这 个 用 户 配 置 文件 的 内 容 来 
设置 其 桌面 环境 。 当 用 户 注 销 时 ,其 对 桌面 设置 所 做 的 任何 更 改 ( 例 如 更 改 桌面 背景 ) 会 
存储 到 该 漫游 用 户 配置 文件 内 ,同样 也 会 存储 到 用 户 所 使 用 的 计算 机 的 本 地 用 户 配置 文 
件 内 。 


5. 漫游 用 户 配置 文件 的 操作 过 程 


使 用 漫游 用 户 配置 文件 的 用 户 在 登录 到 域 时 ,其 计算 机 会 读 取 存 储 在 服务 器 上 的 漫 
游 用 户 配置 文件 ,以 便 根 据 该 用 户 配置 文件 来 决定 用 户 的 桌面 环境 。 而 当 用 户 注销 时 ,用 
户 的 桌面 设置 会 被 同时 存储 到 漫游 用 户 配 置 文件 与 本 地 用 户 配置 文件 内 。 

如 果 用 户 在 登录 域 时 , 因 故 无 法 访问 位 于 服务 器 内 的 漫游 用 户 配 置 文件 ,例如 网 络 故 
障 、 安 全 权限 不 足 等 , 则 会 出 现 图 5-21 。 

此 时 ,系统 将 会 使 用 哪个 用 户 配 置 文件 
登录 呢 ? 有 以 下 两 种 情况 。 

(1) 如 果 用 户 是 第 一 次 从 这 台 计 算 机 上 
登录 , 则 因为 该 计算 机 内 当前 还 没有 该 用 户 
的 本 地 用 户 配置 文件 ,因此 系统 会 以 Default 
User 配置 文件 的 内 容 设置 用 户 的 环境 。 当 图 5-21 不 能 定位 漫游 配置 文件 
用 户 注销 时 ,其 桌面 设置 既 不 会 被 存储 到 服 
务 器 上 的 漫游 用 户 配置 文件 内 ,也 不 会 被 存储 到 本 地 用 户 配置 文件 内 。 

(2) 如 果 用 户 以 前 从 该 计算 机 上 登录 过 , 则 将 使 用 他 在 该 计算 机 内 的 本 地 用 户 配置 
文件 。 当 用 户 注 销 时 ,其 桌面 设置 并 不 会 被 存储 到 服务 器 上 的 漫游 用 户 配置 文件 内 ,只 会 
被 存储 到 本 地 用 户 配 置 文件 文件 夹 内 。 而 当 用 户 下 一 次 登录 到 域 时 ,即使 此 时 网 络 故障 、 
安全 权限 不 足 等 问题 已 经 解决 ,也 就 是 已 经 可 以 正常 地 访问 服务 器 上 的 漫游 用 户 配置 文 
件 , 但 是 由 于 本 地 用 户 配置 文件 的 数据 比较 新 ,因此 仍然 会 使 用 本 地 用 户 配置 文件 ,不 过 
注销 时 ,就 可 以 正常 地 将 最 新 的 桌面 设置 存储 到 漫游 用 户 配置 文件 内 了 。 

用 户 在 登录 时 ,系统 会 比较 服务 器 上 的 漫游 用 户 配置 文件 与 本 机 内 的 本 地 用 户 配 置 
文件 ,两 者 之 间 哪 个 比较 新 (利用 日 期 与 时 间 进 行 比较 ) ,再 决定 使 用 哪个 用 户 配 置 文件 ， 
使 用 的 规则 如 下 。 

(1) 如 果 本 地 的 比较 新 , 则 读 取 本 地 用 户 配置 文件 。 

(2) 如 果 服 务 器 上 的 比较 新 , 则 读 取 服务 器 上 的 漫游 用 户 配置 文件 。 

(3) 如 果 两 者 是 相同 的 , 则 直接 使 用 本 地 用 户 配置 文件 ,从 而 提高 读 取 效 率 。 

无 论 系统 使 用 哪个 用 户 配 置 文件 , 当 用 户 注销 时 ,其 环境 的 更 改 都 会 存储 到 这 两 个 用 
户 配置 文件 内 。 


6. 强制 用 户 配置 文件 


强制 用 户 配置 文件 事先 由 系统 管理 员 创 建 并 存储 在 服务 器 上 ,用 户 登录 后 可 以 更 改 
其 桌面 设置 ,但 是 当 用 户 注销 时 ,对 桌面 的 这 些 更 改 并 不 会 更 新 到 强制 用 户 配 置 文件 内 。 
因此 用 户 每 次 登录 时 使 用 的 是 固定 不 变 的 桌面 设置 。 系 统管 理 员 可 以 更 改 强制 用 户 配 置 
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文件 的 设置 。 

使 用 强制 用 户 配置 文件 时 ,用 户 对 桌面 设置 的 更 改 虽 然 不 会 存储 到 服务 器 上 ,但 会 存 
储 到 本 机 上 的 本 地 用 户 配置 文件 内 。 用 户 下 一 次 登录 时 ,如 果 服 务 器 上 的 强制 用 户 配置 
文件 因 故 无 法 访问 时 , 则 会 使 用 本 地 用 户 配置 文件 。 

创建 强制 用 户 配 置 文件 的 方法 与 创建 漫游 用 户 配 置 文件 一 样 , 区 别 在 于 ,系统 管理 员 
必须 将 这 个 漫游 用 户 配置 文件 .文件 夹 内 的 ntuser. dat 文件 名 修改 为 ntuser. man, 这 样 
漫游 用 户 配 置 文件 就 变 成 了 强制 用 户 配 置 文 件 了 ,如 图 5-22 所 示 。 
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图 5-22 修改 漫游 用 户 配置 文件 为 强制 用 户 配 置 文件 


如 果 有 一 组 用 户 ( 例 如 公司 的 会 计 ? 需 要 使 用 相同 的 桌面 设置 ,而 管理 员 又 不 希望 这 
些 用 户 更 改 其 桌面 ,此 时 管理 员 可 以 为 这 些 用 户 指定 同一 个 强制 用 户 配 置 文件 。 


5.5.4 用 户主 文件 来 


默认 情况 下 ,每 个 用 户 的 个 人 文档 保存 在 “我 的 文档 ”文件 夹 内 ,而 “我 的 文档 ”文件 夹 
是 用 户 配置 文件 的 一 部 分 。 如 果 用 户 使 用 的 是 存储 在 服务 器 上 的 漫游 用 户 配 置 文件 , 则 
用 户 在 登录 时 会 从 服务 器 上 读 取 “我 的 文档 "里 的 内 容 。 当 用 户 注 销 时 ,也 会 把 “我 的 文 
档 ” 里 的 内 容 保存 到 服务 器 上 ,这 将 会 降低 用 户 登 录 或 注销 的 效率 。 

要 解决 上 述 问题 ,可 以 修改 “我 的 文档 ”的 存储 位 置 ,操作 步骤 为 : 单 击 * 开 始 ”, 碳 击 
“我 的 文档 ”属性 ?目标 文件 夹 ”修改 “ 我 的 文档 ”目标 文件 夹 的 位 置 , 如 图 5-23 
所 示 。 

除了 “我 的 文档 ”外 ,Windows Server 2003 还 提供 了 另 一 个 集中 存储 个 人 文档 的 网 
络 位 置 , 这 就 是 用 户 的 主 文件 均 。 由 于 用 户 的 主 文件 夹 不 是 用 户 配置 文件 的 一 部 分 ,所 以 
它 不 会 影响 用 户 的 登录 过 程 。 

要 将 域 用 户 wangwu 的 主 文件 夹 定向 到 服务 器 server01 的 共享 文件 夹 User_docs 
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我 的 文档 属性 
目标 文件 严 


[2 eT 


目标 文件 买 位 置 
目标 文件 来 人 D); |C: \Docunentk and Settings\wanewu\M 


图 5-23 修改 “我 的 文档 "目标 文件 夹 的 位 置 


内 ,设置 其 主 文件 夹 的 操作 步骤 如 下 。 

(1) 利用 域 管理 员 账 户 登录 到 域 控 制 器 server01。 

(2) 在 域 控制 器 server 01 上 ,创建 文件 夹 User_docs, 并 将 其 设置 为 共享 ,共享 名 为 
User_docs, 并 设置 域 管理 员 至 少 具有 “更 改 ” 的 共享 权限 。 

(3) 打开 “Active Directory 用 户 和 计算 机 ”, 单 击 用 户 账户 wangwu 所 在 的 组 织 单 
位 , 右 击 用户 账 户 “ 王 武 (wangwu)” 一 “属性 ”一 “配置 文件 ”选项 卡 。 

(4) 在 图 5-24 中 ,选择 主 文件 夹 中 的 “连接 … 到 ”, 并 输入 主 文件 夹 的 UNC 路 径 \\ 
server01\User_docs\wangwu, 或 者 \\server01\User_docs\%username%。 其 中 server01 


图 5-24 设置 主 文件 夹 的 路 径 
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为 域 控制 器 的 名 称 ,User_docs 为 共享 文件 夹 的 共享 名 ,wangwu 为 该 用 户 的 主 文件 夹 名 
称 (建议 与 用 户 账户 同名 ,该 文件 夹 不 需要 手工 创建 ), 可 以 使 用 变量 %username% 来 代 
蔡 输 入 主 文件 夹 名 称 ,Windows 2003 会 自动 把 UNC 路 径 中 的 %username% 蔡 换 为 该 用 
户 的 账户 名 。 完 成 后 , 单 击 “ 确 定 ” 按 钮 。 

服务 器 端的 设置 完成 后 , 当 王 武 (wangwu) 从 域内 的 任何 一 台 计 算 机 登录 到 域 后 , 打 
开 * 我 的 电脑 ”, 会 出 现 一 个 网 络 驱动 器 Z, 该 驱动 器 会 自动 连接 到 该 用 户 的 主 文件 夹 \\ 
server01\User_docs\wangwu, 以 后 王 武 就 可 以 将 其 个 人 文档 存储 到 网 络 驱 动 器 Z 上 的 
主 文件 夹 了 ,如 图 5-25 所 示 。 


文件 里 ) ”编辑 下 ) 查看 人 收 送 人 工具 CD) 帮助 00 
Oe- © -让 | Per 区 xx | 


地 址 四) | 辐 我 的 电脑 


系统 任务 
回 查看 系统 信息 


图 5-25 客户 端 使 用 主 文件 夹 


建议 把 用 户 的 ”我 的 文档 ? 重 定向 到 此 用 户 对 应 的 * 主 文件 夹 ” 的 位 置 ,可 以 进一步 增 
强 主 文件 夹 的 功能 。 


5.6 组 账户 的 工作 方式 


组 是 用 户 账户 的 集合 。 管 理 员 可 以 一 次 性 为 组 授予 访问 共享 资源 的 权限 ,而 不 用 分 
别 为 每 个 用 户 授予 权限 。 组 的 应 用 简化 了 对 用 户 的 管理 ,减轻 了 网 络 管理 员 的 负担 。 

出 于 企业 的 用 途 或 者 管理 任务 的 需要 ,管理 员 除 了 可 以 将 用 户 账户 添加 为 组 的 成 员 
外 ,也 可 以 将 其 他 计算 机 甚至 其 他 组 添加 为 组 的 成 员 。 在 添加 组 的 成 员 时 ,需要 考虑 以 下 
情况 。 

(1) 当 将 一 个 用 户 账户 添加 为 组 的 成 员 时 ,该 账户 就 被 授予 了 该 组 拥有 的 所 有 权限 

(2) 一 个 用 户 账户 可 以 是 多 个 组 的 成 员 。 

Windows 2003 本 身 提供 了 具有 特定 权限 的 内 党 组 ,可 以 通过 把 用 户 添 加 到 这 些 内 惫 
组 中 来 简单 地 实现 组 。Windows 2003 也 提供 了 一 些 常 见 的 策略 使 管理 员 或 者 用 户 更 有 
效 地 创建 和 使 用 组 。 
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5.7 本 地 组 
5.7.1 本 地 组 概述 


本 地 组 也 就 是 在 工作 组 中 实现 的 组 。 本 地 组 可 以 在 Windows Server 2003/Windows 
2000/Windows NT 独立 服务 器 或 成 员 服 务 器 、Windows XP Professional/Home 
Edition、Windows NT Workstation 等 非 域 控制 器 的 计算 机 上 创建 。 

只 有 Administrator 组 或 者 Power Users 组 的 成 员 才 有 权 创 建 本 地 组 。 创建 的 这 些 
组 账户 被 存储 在 这 些 计 算 机 的 “本 地 安全 账户 数据 库 ” 内 。 

只 能 在 创建 本 地 组 的 计算 机 上 使 用 本 地 组 , 换 句 话说 ,本 地 组 只 能 够 用 来 控制 本 地 计 
算 机 上 资源 的 访问 或 用 来 对 本 地 计算 机 执行 系统 任务 。 管 理 员 需要 分 别 在 每 台 计 算 机 上 
管理 本 地 组 。 

提示 : 不 建议 在 隶属 于 域 的 客户 端 计算 机 或 成 员 服 务 器 上 创建 ,使 用 本 地 组 ,这 样 做 
不 利于 域 的 集中 管理 。 

本 地 组 只 能 包括 创建 该 本 地 组 的 计算 机 上 的 本 地 用 户 账户 。 但 是 如 果 该 计算 机 是 域 
的 成 员 , 那 它 也 可 以 包含 该 计算 机 所 属 域 或 所 信任 域内 的 域 用 户 账户 .全 局 组 和 通用 组 。 
本 地 组 不 能 是 其 他 任何 组 的 成 员 。 

除了 用 户 创建 本 地 组 之 外 , Windows Server 2003 本 身 提供 了 拥有 在 本 地 计算 机 上 
执行 系统 任务 的 特定 权限 的 内 区 组 ,内 置 组 不 能 被 删除 。 内 置 组 包括 内 轩 本 地 组 和 内 置 
的 特殊 组 ,关于 内 置 的 特殊 组 ,在 5.8 节 中 介绍 。 这 些 内 置 组 拥有 一 组 预定 义 的 权限 ,这 
些 权限 决定 了 用 户 可 以 执行 哪些 系统 任务 。 

表 5-5 描述 了 最 常用 的 内 置 本 地 组 及 其 描述 。 

表 5-5 最 常用 的 内 置 本 地 组 及 其 描述 
本 地 组 描 述 


该 组 内 的 成 员 只 拥有 一 些 基本 的 权利 ,例如 运行 应 用 程序 ,但 是 不 能 修改 操 
作 系 统 的 设置 ,不 能 更 改 其 他 用 户 的 数据 ,不 能 关闭 服务 器 级 的 计算 机 。 所 
有 添加 的 本 地 用 户 账 户 都 自动 属于 该 组 。 如 果 这 人 台 计 算 机 已 加 入 域 , 则 域 
的 Domain Users 会 自动 隶属 于 该 计算 机 的 Users 组 


该 组 内 的 用 户 具 备 系 统管 理 员 的 权限 ,拥有 管理 这 台 计算 机 的 最 大 权限 。 
内 置 的 系统 管理 员 账 户 Administrator 就 是 该 组 的 成 员 。 如 果 这 台 计 算 机 
Administrators 已 加 入 域 , 则 域 的 Domain Admins 会 自动 地 加 入 到 该 计算 机 的 
Administrators 组 内 。 也 就 是 说 , 域 中 的 系统 管理 员 也 具备 这 台 计 算 机 上 系 
统管 理 员 的 权限 


Guests 组 提供 给 需要 访问 本 地 计算 机 内 的 资源 但 又 没有 用 户 账户 的 用 户 使 
用 。 该 组 的 成 员 无 法 永久 改变 其 桌面 的 工作 环境 ,默认 成 员 为 用 户 账户 
Guest, 该 账户 默认 是 被 禁用 的 。 如 果 这 台 计 算 机 已 加 入 域 , 则 域 的 Domain 
Guests 会 自动 地 被 加 入 到 该 计算 机 的 Guests 组 中 


Users 


Guests 
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续 表 


本 地 组 描 述 


该 组 内 的 成 员 不 论 是 否 有 权 访问 这 台 计 算 机 中 的 文件 或 文件 夹 ,都 可 以 通 
过 Windows 提供 的 备份 工具 ,备份 与 还 原 这 些 文件 或 文件 夹 


该 组 内 的 用 户 具 备 比 Users 组 更 多 的 权利 ,但 是 比 Administrators 组 更 少 的 
权利 ,例如 ,可 以 在 本 地 计算 机 上 创建 .删除 .管理 本 地 用 户 账户 、 共 享 文件 
夹 . 共 享 打印 机 等 ,也 可 以 自 定义 系统 设置 ,例如 ,更 改 计算 机 时 间 、 关 闭 计 
算 机 等 。Power Users 组 的 成 员 不 可 以 更 改 Administrators 与 Backup 
Operators ,无 法 获取 文件 的 所 有 权 、 无 法 备份 与 还 原文 件 、 无 法 安装 与 删除 
设备 驱动 程序 、 无 法 管理 安全 与 审核 日 志 


Replicator 该 组 内 的 成 员 可 以 配置 文件 复制 服务 


该 组 内 的 用 户 可 以 在 客户 端 执行 一 般 的 网 络 设置 任务 ,例如 更 改 IP 地 址 ， 
但 是 不 可 以 安装 /删除 驱动 程序 与 服务 ,也 不 可 以 执行 与 网 络 服务 器 设置 有 
关 的 任务 ,例如 DNS 服务 器 .DHCP 服务 器 的 设置 

该 组 的 成 员 可 以 通过 远程 计算 机 登录 ,例如 ,利用 终端 服务 器 从 远程 计算 机 
登录 


Backup Operators 


Power Users 


Network Configuration 
Operators 


Remote Desktop Users 


5.7.2 在 工作 组 中 使 用 本 地 组 的 策略 


在 工作 组 环境 中 ,用 户 要 想 获取 访问 某 台 计算 机 上 的 共享 资源 的 权限 或 者 对 该 计算 
机 执行 系统 管理 任务 , 则 该 用 户 在 这 台 计 算 机 上 必须 有 一 个 本 地 用 户 账户 。 如 果 计 算 机 
上 的 多 个 用 户 要 求 访问 相同 的 资源 或 者 执行 同样 的 系统 管理 任务 ,就 可 以 使 用 本 地 组 来 
授予 权限 ,然后 把 相应 的 用 户 账户 添加 为 本 地 组 的 成 员 。 这 种 方法 称 为 ALP 策略 , 即 把 
用 户 账户 (A) 添 加 到 本 地 组 (L) 里 ,授予 计算 机 上 的 本 地 组 相应 的 权限 (P)。 

提示 : 如 果 把 用 户 账户 添加 到 系统 的 内 置 组 中 ,就 可 以 达到 授予 用 户 权限 的 目的 ,就 
不 必 再 另外 创建 一 个 新 的 本 地 组 。 


5.7.3 创建 本 地 组 


在 Windows Server 2003 上 ,创建 本 地 组 的 操作 步骤 如 下 。 

(1) 单 击 “ 开 始 ? 一 右 击 “我 的 电脑 ”一 选择 “管理 ”, 或 者 单 击 “ 开 始 ” 一 选择 “管理 工 
具 ” 一 打开 “计算 机 管理 ”> 展开 “本 地 用 户 和 组 ”一 右 击 “组 ”一 选择 “新 建 组 ”, 如 图 5-26 
所 示 。 

(2) 在 图 5-27 中 ,输入 组 名 ,例如 *L 市场 部 "。 也 可 以 单 击 “ 添 加 ”一 “高 级 ”>“ 立 即 
查找 ?来 添加 组 的 成 员 。 完 成 后 , 单 击 “创建 按钮 即 可 。 


电 计算 机 管理 


该 得 中 的 成 员 具 有 斯 需 的 访问 权 ， 
该 姐 中 的 成 员 具 有 所 需 的 访问 权 


加 :ili_enijiantao 


图 5-27 添加 本 地 组 的 成 员 


5.8 域 组 

域 中 的 组 存储 在 Active Directory 数据 库 内 。 使 用 域 中 的 组 ,管理 员 能 够 更 好 地 组 织 
域 中 的 用 户 ,并 实施 资源 的 访问 权限 控制 。 在 域 中 使 用 组 有 更 多 的 选项 ,理解 相应 的 使 用 
策略 很 重要 。 
5.8.1 域 组 概述 


Windows Server 2003 的 Active Directory 内 包含 了 许多 内 置 的 组 ,包含 本 地 域 组 、 全 
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局 组 和 特殊 组 ,这 些 内 置 组 分 别 如 下 。 


1. 内 置 的 本 地 域 组 


[第 5 章 取 , 征 a 且 = 汪 昌 


Windows Server 2003 域 控 制 器 的 活动 目录 中 的 Builtin 容器 内 已 经 内 置 了 一 些 本 地 
域 组 ,如 表 5-6 所 示 。 这 些 组 已 经 被 赋予 了 一 些 权利 与 权限 ,以 便 让 其 能 够 管理 整个 域 与 
活动 目录 。 只 要 将 用 户 账户 或 组 账户 添加 到 这 些 内 置 的 本 地 域 组 中 ,这 些 账 户 也 将 具备 


与 内 置 的 本 地 域 组 相同 的 权利 与 权限 。 


表 5-6 常用 的 本 地 域 组 


内 置 的 本 地 域 组 


描 述 


Account Operators 


系统 默认 该 组 内 的 成 员 可 以 在 除 Builtin 容器 与 Domain Controller 组 织 单 
位 以 外 的 任何 一 个 容器 与 组 织 单位 内 新 建 , 删 除 、 更 改 用 户 账户 、 组 账户 、 计 
算 机 账户 。 但 无 法 更 改 或 删除 Administrators 与 Domain Admins 组 的 成 员 


Administrators 


该 组 内 的 成 员 具 备 系统 管理 员 的 权限 ,拥有 管理 整个 域 控制 器 (活动 目录 ) 
最 大 的 权限 。 该 组 的 默认 成 员 包 含 内 置 的 系统 管理 员 账 户 Administrator、 
Domain Admins 全 局 组 、Enterprise Admins 全 局 组 等 


Backup Operators 


该 组 的 成 员 可 以 备份 与 还 原 域 控制 器 内 的 文件 夹 与 文件 ,还 可 以 关闭 域 控 
制 器 


Guests 


该 组 是 供 没 有 用 户 账户 ,但 又 需要 访问 资源 的 用 户 使 用 ,该 组 的 成 员 无 法 永 
久 地 改变 其 桌面 的 工作 环境 。 该 组 默认 的 成 员 为 用 户 账户 Guest 与 全 局 组 


Domain Guests 


Network Configuration 
Operators 


该 组 内 的 用 户 , 可 以 在 域 控制 器 上 进行 一 般 的 网 络 设置 工作 ,例如 ,更 改 人 P 
地 址 ,但 是 不 可 以 安装 /删除 驱动 程序 与 服务 ,也 不 可 以 执行 与 网 络 服务 器 
设置 有 关 的 任务 ,例如 DNS 服务 器 .DHCP 服务 器 的 设置 


Pre_Windows 2000 
Compatible Access 


该 组 主要 是 为 了 与 Windows NT 4. 0 计算 机 (或 更 旧 的 计算 机 ?兼容 。 其 成 
员 可 以 读 取 Windows Server 2003 域 中 的 所 有 用 户 与 组 账户 。 其 默认 的 成 
员 为 特殊 组 Authenticated Users。 只 有 在 用 户 所 使 用 的 计算 机 是 Windows 
NT 4.0 或 更 旧 的 系统 时 才 将 用 户 加 入 到 该 组 中 


Printer Operators 


该 组 的 成 员 可 以 创建 ,停止 或 管理 域 控制 器 上 的 共享 打印 机 ,也 可 以 关闭 域 
控制 器 


Remote Desktop Users 


该 组 的 成 员 可 以 通过 远程 计算 机 登录 ,例如 利用 终端 服务 器 从 远程 计算 机 
登录 


Server Operators 


该 组 的 成 员 可 以 创建 ,管理 、 删 除 域 控制 器 上 的 共享 文件 夹 与 打印 机 ;备份 
与 还 原 域 控 制 器 内 的 文件 ;锁定 与 解 开 域 控制 器 ;将 域 控制 器 上 的 硬盘 格式 
化 ;更 改 域 控制 器 的 系统 时 间 ; 关 闭 域 控制 器 等 


Users 


该 组 的 组 员 只 拥有 一 些 基本 的 权限 ,例如 运行 应 用 程序 ,但 是 他 们 不 能 修改 
操作 系统 的 设置 ,不 能 更 改 其 他 用 户 的 数据 ,不 能 关闭 服务 器 级 的 计算 机 。 
该 组 默认 的 成 员 为 Domain Users 全 局 组 


2. 内 置 的 全 局 组 


当 创 建 一 个 域 时 ,系统 会 在 活动 目录 中 的 Users 容器 内 创建 一 些 内 置 的 全 局 组 ,如 
表 5-7 所 示 。 这 些 全 局 组 本 身 并 没有 任何 权利 与 权限 ,但 是 可 以 将 其 添加 到 本 地 域 组 中 来 
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获取 相应 的 权利 或 权限 ,或 者 直接 给 该 全 局 组 指派 权利 或 权限 。 


表 5-7 常用 的 全 局 组 


内 置 的 全 局 组 描 述 
域内 的 成 员 计 算 机 会 自动 地 将 该 组 加 入 到 其 Administrators 组 中 ,因此 该 
Domain Admins 组 内 的 每 个 成 员 都 具备 系统 管理 员 的 权限 。 该 组 默认 的 成 员 为 域 用 


户 Administrator 


Domain Computers 


所 有 加 入 到 该 域 的 计算 机 都 自动 隶属 于 该 组 


Domain Controllers 


域内 的 所 有 域 控制 器 都 自动 隶属 于 该 组 


Domain Users 


域内 的 成 员 计 算 机 会 自动 地 将 该 组 加 入 到 其 Users 组 内 。 该 组 默认 的 成 员 
为 域 用 户 Administrator ,以 后 添加 的 所 有 域 用 户 账户 都 自动 隶属 于 该 组 


Domain Guests 


系统 会 自动 地 将 该 组 加 入 到 Guests 本 地 域 组 内 。 该 组 的 默认 成 员 为 用 户 
账户 Guest 


Enterprise Admins 


该 组 只 存在 于 整个 域 目录 林 的 根 域 中 ,其 成 员 具 有 管理 整个 域 目录 林内 的 
所 有 域 的 权利 。 该 组 的 默认 成 员 为 域 目 录 林 根 域内 的 用 户 Administrator 


Schema Admins 


该 组 只 存在 于 域 目录 林 的 根 域 中 ,其 成 员 具 备 管理 构架 的 权利 。 该 组 的 默 
认 成 员 为 域 目录 林 根 域内 的 用 户 Administrator 


3. 内 置 的 特殊 组 


特殊 组 也 称 为 系统 组 ,存在 于 所 有 运行 Windows Server 2003 的 计算 机 内 ,如 表 5-8 
所 示 ,这 些 组 自动 为 特定 的 系统 用 途 组 织 用 户 。 管 理 员 不 能 更 改 这 些 组 的 成 员 身 份 ,也 就 
是 说 ,无 法 在 “Active Directory 用 户 和 计算 机 ?或 “计算 机 管理 ”内 看 到 、 管 理 这 些 组 。 这 
些 组 只 有 在 设置 权利 、 权 限时 才 看 得 到 。 


表 5-8 常用 的 特殊 组 


内 置 的 特殊 组 描 述 
任何 一 个 用 户 ( 包 括 Guest 用 户 ) 都 隶属 于 这 个 组 。 当 一 个 没有 账户 的 用 户 连 
Everyone 接 计算 机 时 ,如果 Guest 账户 被 启用 时 ,他 将 自动 利用 Guest 账户 连接 ,也 将 


具备 Everyone 拥有 的 权限 。 因 此 ,给 Everyone 组 指派 权限 时 要 十 分 小 心 


Authenticated Users 


任何 一 个 利用 有 效 的 用 户 账户 连接 的 用 户 都 隶属 于 这 个 组 。 建 议 在 设置 权限 
时 ,尽量 针对 Authenticated Users 组 进行 设置 ,而 不 要 针对 Everyone 组 进行 
设置 


Interactive 


任何 在 本 地 登录 的 用 户 都 隶属 于 这 个 组 


Network 


任何 通过 网 络 连 接 到 此 计算 机 的 用 户 都 隶属 于 这 个 组 


Creator Owner 


文件 夹 .文件 或 打印 文件 等 资源 的 创建 者 ,就 是 该 资源 的 Creator Owner( 创 建 
者 /所 有 者 )。 如 果 创 建 者 是 Administrators 组 内 的 成 员 , 则 其 Creator Owner 
为 Administrators 组 


Anonymous Logon 


任何 未 利用 有 效 的 用 户 账户 连接 的 用 户 都 隶属 于 这 个 组 


Dialup 


任何 利用 拨号 方式 连接 的 用 户 都 隶属 于 这 个 组 
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用 户 要 么 默认 就 是 这 个 组 的 成 员 , 要 么 在 网 络 操作 过 程 中 成 为 这 个 组 的 成 员 。 例 如 ， 
用 户 登录 一 台 计算 机 并 且 获 得 该 计算 机 上 资源 的 访问 权 , 在 登录 这 一 操作 过 程 中 ,该 用 户 
就 成 了 Interactive 特殊 组 的 成 员 。 


5.8.2 域 组 类 型 和 作用 域 


1. 组 的 类 型 


组 的 类 型 决定 了 可 以 用 这 个 组 管理 的 任务 的 类 型 ,有 以 下 两 种 类 型 。 

(1) 安全 组 。 安 全 组 用 来 实现 与 安全 有 关 的 目的 ,被 授予 访问 资源 的 权限 。 安 全 组 
也 可 以 用 在 与 安全 无 关 的 任务 上 ,例如 ,可 以 使 用 安全 组 向 多 个 用 户 发 送 电子 邮件 消息 ， 
向 安全 组 发 送 电子 邮件 消息 就 是 向 该 组 的 所 有 成 员 发 送 这 个 消息 ,因此 安全 组 共享 通信 
组 的 功能 。 

(2) 通信 组 。 通 信 组 用 来 实现 与 安全 (权限 的 设置 等 ) 无 关 的 任务 ,例如 ,向 一 组 用 户 
发 送 电子 邮件 。 通 信 组 不 能 被 授予 访问 资源 的 权限 。 即 使 安全 组 有 通信 组 的 全 部 功能 ， 
通信 组 仍 是 必需 的 ,因为 一 些 应 用 程序 只 能 读 取 通信 组 。 

在 域 功能 级 别 为 "Windows 2000 纯 模 式 ” 或 者 Windows Server 2003 时 ,安全 组 与 通 
信 组 之 间 可 以 互相 转换 ,在 域 功能 级 别 为 "Windows 2000 混合 模式 ”时 无 法 转换 。 


2. 组 的 作用 域 


组 的 作用 域 决定 了 这 个 组 是 跨 多 个 域 还 是 限制 在 单个 域 中 ,决定 了 在 域 的 何 处 可 以 
使 用 组 ,例如 ,有 的 组 仅 可 在 所 属 的 域 中 使 用 ,而 有 的 组 可 在 整个 域 目录 林 中 的 所 有 域 中 
使 用 。 组 的 作用 域 也 影响 组 成 员 身 份 和 组 的 嵌 套 。 组 的 嵌 套 就 是 把 一 个 组 作为 成 员 添加 
到 另 一 个 组 里 。 

根据 组 的 作用 域 , Windows Server 2003 域 中 的 组 分 为 通用 组 、 全 局 组 .本 地 域 组 
3 种 .关于 这 些 组 的 特性 ,分 别 介绍 如 下 。 

1) 通用 组 

(1) 通用 组 拥有 开放 的 成 员 身 份 ,通用 组 的 成 员 能 够 包含 整个 域 目录 林 中 任何 一 个 
域内 的 用 户 、 通 用 组 ,全 局 组 。 但 无 法 包含 任何 一 个 域内 的 本 地 域 组 。 

(2) 允许 把 通用 组 添加 到 任何 域 中 的 本 地 域 组 或 者 通用 组 里 。 

(3) 通用 组 可 以 访问 任何 一 个 域内 的 资源 ,也 就 是 说 ,可 以 在 任何 一 个 域内 为 通用 组 
(这 个 通用 组 可 以 在 该 域 中 ,也 可 以 在 另 一 个 域 中 ) 授 予 访问 资源 的 权限 。 

2) 全 局 组 

(1) 全 局 组 主要 用 来 组 织 用 户 , 也 就 是 可 以 将 多 个 即将 被 赋予 相同 权限 的 用 户 账户 
加 入 到 同一 个 全 局 组 中 。 

(2) 全 局 组 拥有 有 限 的 成 员 身 份 ,全 局 组 的 成 员 只 能 够 包含 与 该 全 局 组 在 同一 个 域 
中 的 用 户 与 全 局 组 。 

(3) 允许 把 一 个 全 局 组 添加 到 同一 个 域 中 的 另 一 个 全 局 组 ,或 者 位 于 同一 个 域 , 或 者 
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其 他 域 中 的 通用 组 和 本 地 域 组 里 。 
(4) 全 局 组 可 以 访问 任何 一 个 域 中 的 资源 ,也 就 是 说 ,可 以 在 任何 一 个 域内 为 全 局 组 
授予 访问 资源 的 权限 (这 个 全 局 组 可 以 在 同一 个 域 ,也 可 以 在 另 一 个 域 中 )。 


3) 本 地 域 组 


(1) 本 地 域 组 拥有 开放 的 成 员 身 份 ,本 地 域 组 的 成 员 , 能 够 包含 任何 一 个 域内 的 用 
户 、 通 用 组 ,全 局 组 ; 它 还 能 够 包含 同一 个 域内 的 本 地 域 组 ;但 是 它 无 法 包含 其 他 域内 的 本 


地 域 组 。 


(2) 本 地 域 组 只 能 够 访问 该 本 地 域 组 所 在 的 域内 的 资源 ,无 法 访问 其 他 不 同 域内 的 
资源 。 也 就 是 说 ,只 能 把 本 地 域 组 所 在 域内 的 资源 的 访问 权限 授予 给 本 地 域 组 。 
关于 各 种 域 组 的 特性 对 比 ,如 表 5-9 所 示 。 


特性 \ 组 


表 5-9 各 种 域 组 的 特性 对 比 


通 用 组 


全 局 组 


本 地 域 组 


成 员 (Windows 2000 混 
合 模式 ) 


不 支持 通用 组 (组 类 型 
是 “通信 组 除外) 


同一 个 域内 的 用 户 账 户 
和 计算 机 账户 


所 有 域内 的 用 户 账 户 、 
计算 机 账户 和 全 局 组 


成 员 (Windows 2000 纯 
模式 或 Windows Server 
2003) 


所 有 域内 的 用 户 账户 、 
计算 机 账户 ,全 局 组 、 通 
用 组 


同一 个 域内 的 用 户 账 
户 . 计 算 机 账户 和 全 
局 组 


所 有 域内 的 用 户 账 户 、 
计算 机 账户 、 全 局 组 、 通 
用 组 ;同一 个 域内 的 本 
地 域 组 


可 以 指派 哪 一 个 域内 资 


所 有 域 ( 域 功能 级 别 必 
须 是 Windows 2000 纯 


源 的 访问 权限 模式 或 Windows Server | 记 有 域 同一 个 域 
2003) 
可 转换 为 本 地 域 组 ;可 | 可 转换 为 通用 组 (只 要 
可 转换 为 通用 组 (只 要 
组 转换 转换 为 全 局 组 (只 要 该 | 该 组 不 隶属 于 任何 一 个 | 议 组 不 各 生 丰 地 天 旨 


组 不 包含 通用 组 ) 


5.8.3 在 单个 域 中 使 用 组 的 策略 


全 局 组 ) 


当 在 单个 域 中 使 用 组 时 ,可 以 使 用 AGDLP 策略 。AGDLP 策略 : 指 把 用 户 账户 (A) 
放 入 全 局 组 (G) ,再 把 全 局 放 入 本 地 域 组 (DL) ,然后 给 本 地 域 组 授予 权限 (P) 。 

当 设 置 组 时 ,使 用 以 下 策略 。 

(1) 把 具有 相同 职责 或 有 相同 网 络 访问 要 求 的 用 户 账户 添加 到 某 个 全 局 组 。 例 如 ， 
管理 员 可 以 把 所 有 访问 相同 资源 的 、 负 责 市 场 业务 的 员工 的 用 户 账户 添加 到 名 为 “G_ 市 


场 部 ”的 全 局 组 中 。 


(2) 考虑 是 否 使 用 内 置 的 本 地 域 组 ,必要 的 话 要 创建 一 个 新 的 本 地 域 组 。 例 如 ,可 以 
创建 一 个 名 为 DL_Color Printer Users 的 本 地 域 组 ,让 用 户 能 够 使 用 域 中 共享 的 彩色 打 


印 机 。 


(3) 把 所 有 有 相同 资源 访问 需求 的 全 局 组 添加 到 本 地 域 组 里 。 例 如 ,把 创建 的 全 局 
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组 ,包括 G_Sales, 添 加 到 本 地 域 组 DL_Color Printer Users 中 。 
(4) 授予 本 地 域 组 访问 资源 的 必需 权限 ,例如 ,授予 本 地 域 组 DL_Color Printer 
Users 使 用 彩色 打印 机 的 必需 权限 。 


5.8.4 创建 与 管理 域 组 


1. 域 组 的 新 建 、 重 命名 、 删 除 


要 在 域 xyz. net 中 的 “市 场 部 ”OU 中 ,新 建 一 个 名 为 “G 市场 部 ”的 安全 式 全 局 组 , 操 
作 步 又 为 : 打开 “Active Directory 用 户 和 计算 机 ”一 单 击 域名 (xyz. net) 一 右 击 “市 场 部 ” 
OU 一 “新 建 ”>“ 组 ”, 在 弹出 的 对 话 框 中 输入 组 名 (G_ 市 场 部 )、 供 早期 操作 系统 (例如 
Windows NT) 访 问 的 组 名 、 选 择 组 的 作用 域 (全 局 组 ) 和 类 型 (安全 组 ) ,如 图 5-28 所 示 。 


图 5-28 新建 域 中 的 组 


每 个 组 都 有 一 个 唯一 的 ,不 能 重用 的 安全 标识 符 (SID)。Windows 2003 使 用 SID 来 
识别 该 组 ,权限 的 设置 也 是 通过 SID 设置 的 ,而 不 是 利用 组 名 称 。 

域 组 的 重 命名 : 右 击 组 账户 一 选择 * 重 命名 ”~ 输入 新 的 组 账户 名 称 。 更 改组 账户 名 
称 后 ,由 于 该 组 的 安全 识别 码 (SID) 并 没有 改变 ,因此 该 组 账户 的 属性 .权利 与 权限 设置 
都 不 会 变化 。 

域 组 的 删除 : 右 击 组 账户 一 选择 “删除 ”。 当 删除 一 个 组 账户 后 ,如 果 又 创建 了 一 个 
相同 名 称 的 新 组 ,系统 会 给 新 组 分 配 一 个 新 的 SID, 也 就 是 说 ,新 组 永远 也 不 会 使 用 已 删 
除 组 的 SID。 因 此 ,不 能 通过 创建 一 个 相同 名 称 的 组 来 恢复 访问 资源 的 权限 。 当 删除 组 
时 ,与 该 组 相关 联 的 权限 也 被 一 并 删除 ,但 不 会 把 它 的 成 员 ( 用 户 账户 或 组 ) 删 除 。 


2. 在 域 组 中 添加 成 员 


创建 一 个 组 之 后 ,可 以 向 该 组 中 添加 成 员 。 组 的 成 员 可 以 是 用 户 账户 、 其 他 的 组 或 计 
算 机 账户 。 
要 添加 组 的 成 员 ,操作 步骤 为 : 打开 “Active Directory 用 户 和 计算 机 ”一 展开 域 一 展 
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开 容 器 或 组 织 单位 一 右 击 组 一 选择 * 属 性 ”一 选择 “成 员 ? 选 项 卡 一 单 击 “ 添 加 ”一 单 击 “* 高 
级 ”一 单 击 “ 立 即 查找 ”一 选择 要 加 入 的 成 员 ( 按 Shift 键 或 Ctrl 键 可 以 同时 选择 多 个 账 
户 ) 一 单 击 “ 确 定 ? 按 钮 ,如 图 5-29 所 示 。 
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本 对 
选择 此 对 旬 贡 型 G) 

网 户 8 宁 要 要 类型 中， 
查找 位 置 

Freset 位 置 L) 

一 般 性 查询 | 

人 WE ” 忆 ——— eal 
io ER 
RP) Ew | 


马 所 过期 区 区 
目 jE 缚 录 捕 的 天 数 蕊 ) 可 


-描述 在 文件 夹 中 
管理 计算 机 C xyr. net/Users 
供 来 宾 访 问 xyr. net/Users 
这 是 一 个 帮 . 


图 5-29 在 域 组 中 添加 成 员 


第 6 章 组 策略 


学 习 目标 

学 习 完 本 章 后 ,了 解 组 策略 的 概念 、 功 能 以 及 组 策略 的 结构 。 掌 握 使 用 组 策略 管理 单 
元 的 方法 ,能 够 配置 计算 机 和 用 户 的 组 策略 设置 ,并 能 够 应 用 组 策略 ,实现 预期 的 管理 目 
的 。 掌 握 创 建 组 策略 对 象 、 链 接 现 有 组 策略 对 象 的 方法 。 理 解 组 策略 继承 的 规则 以 及 如 
何 控制 组 策略 的 处 理 过 程 。 


6.1 组 策略 概述 


组 策略 为 管理 员 提 供 了 集中 管理 网 络 中 的 用 户 和 计算 机 的 方法 。 可 以 将 组 策略 应 用 
于 整个 网 络 ,也 可 以 只 应 用 于 指定 的 用 户 和 计算 机 。 通 过 使 用 组 策略 ,可 以 定义 用 户 初始 
的 工作 环境 状态 ,然后 可 以 根据 实际 需求 不 断 改进 已 定义 的 组 策略 设置 。 组 策略 的 应 用 ， 
可 以 降低 配置 用 户 环境 的 复杂 性 ,减少 用 户 错误 配置 环境 的 可 能 性 ,减少 网 络 管理 员 技 术 
支持 的 工作 量 ,使 得 管理 用 户 和 计算 机 的 工作 变 得 更 加 灵活 .方便 ,从 而 提高 工作 效率 。 


6.1.1 组 策略 功能 


组 策略 可 以 实现 以 下 功能 。 

(1) 在 站 点 或 域 上 ,实施 应 用 于 整个 企业 的 集中 化 的 策略 :在 组 织 单位 (OU) 级 别 上 ， 
实施 应 用 于 每 个 部 门 的 分 散 化 的 策略 。 

(2) 确保 用 户 能 在 满足 工作 需要 的 环境 中 工作 。 例 如 ,可 以 自动 安装 软件 ;用 户 的 数 
据 文件 能 有 一 个 集中 、 安 全 的 存储 位 置 等 。 

(3) 控制 用 户 和 计算 机 的 环境 ,从 而 可 以 减少 用 户 所 需 的 技术 支持 。 例 如 ,通过 使 用 
组 策略 ,能够 防止 用 户 随意 更 改 系统 配置 ,还 能 防止 用 户 安装 不 必要 的 应 用 程序 。 

(4) 实施 公司 策略 ,包括 商业 规范 .目标 和 安全 要 求 。 例 如 ,确保 所 有 用 户 的 安全 配 
置 都 符合 公司 的 安全 要 求 ,确保 所 有 用 户 都 已 经 安装 了 一 组 特定 的 应 用 程序 集合 。 


6.1.2 组 策略 对 象 


组 策略 的 设置 包含 在 组 策略 对 象 (Group Policy Object,GPO) 中 ,因此 ,只 要 将 GPO 
关联 到 指定 的 站 点 、 域 或 OU ,该 GPO 内 的 设置 就 会 影响 该 站 点 域 或 OU 内 的 所 有 用 户 
与 计算 机 。 

GPO 有 两 种 类 型 : 本 地 GPO 和 非 本 地 GPO。 

运行 Windows 2003 的 计算 机 不 论 是 在 工作 组 环境 中 ,还 是 在 Active Directory 环境 
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中 ,在 本 机 上 都 存储 了 一 个 本 地 GPO。 然 而 ,如 果 一 台 计 算 机 已 经 加 入 Active Directory 
域 ,那么 非 本 地 GPO 就 能 覆盖 本 地 GPO。 在 工作 组 环境 中 或 者 在 未 联网 的 环境 中 ,由 于 
本 地 GPO 的 设置 并 没有 被 非 本 地 GPO 覆盖 ,所 以 本 地 GPO 有 效 。 

非 本 地 GPO 是 与 Active Directory 对 象 (例如 站 点 、 域 或 组 织 单位 ) 关 联 起 来 使 用 
的 , 非 本 地 GPO 也 可 以 应 用 于 用 户 或 计算 机 。 如 果 要 使 用 非 本 地 GPO, 网 络 中 必须 有 一 
台 Windows 2003 域 控制 器 ,并 且 系 统 会 分 层次 应 用 非 本 地 GPO 中 的 策略 ,从 计算 机 所 
在 的 站 点 到 计算 机 所 在 的 组 织 单位 ,并 且 这 些 组 策略 的 应 用 是 累加 的 。 如 果 没 有 特别 说 
明 , 本 书 中 所 指 的 都 是 非 本 地 GPO。 

Windows 2003 域 控 制 器 内 已 经 有 两 个 内 建 GPO, 分 别 如 下 。 

(1) Default Domain Policy。 该 GPO 已 被 链接 到 域 ,因此 它 的 设置 会 被 应 用 到 整个 
域内 的 所 有 用 户 与 计算 机 。 

(2) Default Domain Controllers Policy。 该 GPO 已 被 链接 到 Domain Controllers 
OU, 因 此 它 的 设置 会 被 应 用 到 域 控 制 器 组 织 单位 内 的 所 有 用 户 与 计算 机 。 在 域 控制 器 
组 织 单位 内 ,系统 默认 只 有 域 控制 器 的 计算 机 账户 。 

打开 “Active Directory 用 户 和 计算 机 ”, 右 击 Domain Controllers OU 一 “属性 ”一 “组 
策略 ”, 可 以 看 到 Default Domain Controllers Policy 这 个 GPO 已 经 被 链接 到 Domain 
Controllers OU 上 ,如 图 6-1 所 示 。 

打开 “Active Directory 用 户 和 计算 机 ”, 右 击 域名 称 一 “属性 ”一 “组 策略 ”, 可 以 看 到 
Default Domain Policy 这 个 GPO 已 经 被 链接 到 整个 域 ,如 图 6-2 所 示 。 


Domain Controllers 尾 性 


图 6-1 Default Domain Controllers Policy 6-2 Default Domain Policy 


提示 : 请 勿 随意 修改 Default Domain Policy 或 Default Domain Controllr Policy 的 
GPO 配置 ,以 免 操 作 系统 不 正常 运行 。 

除了 可 以 针对 站 点 、 域 与 组 织 单位 来 设置 组 策略 之 外 ,还 可 以 针对 每 一 台 计 算 机 配置 
本 地 计算 机 策略 ,本 地 计算 机 策略 的 配置 数据 是 被 存储 在 本 地 计算 机 的 %systemroot% 
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System32\GroupPolicy 文件 夹 内 , 它 是 一 个 隐藏 文件 夹 。 本 地 计算 机 策略 只 会 应 用 到 本 
地 计算 机 以 及 在 此 计算 机 登录 的 所 有 用 户 。 


6.1.3 使 用 组 策略 管理 单元 


组 策略 管理 单元 的 根 节点 显示 为 GPO 名 称 及 所 属 的 域 ,格式 如 下 : 
GE0 名 称 域名 ] 策略 
例如 ,Default Domain Controllers Policy [server01. xyz. net] 策 略 ,如 图 6-3 所 示 。 


文件 到 ) 搜 作 W) 查看 帮助 gp 
生 省 | 国 | 轩 攻 | 急 


日生 Windows 设置 
图 妓 本 (局 动 /关机 ) 
安全 设置 


orer 准 护 


音 


Wr 
Windovs 组 件 
任务 栏 和 「 开 始 」 荣昌 


四 甲 -一 甲 轨 - 甲 国 四 四 四 


BOOBBOO 
并 湾 


图 6-3 ”Default Domain Controllers Policy 管理 单元 


1.“ 本 地 计算 机 ”策略 管理 单元 


j 台 运行 Windows 2003 的 计算 机 上 都 可 以 设置 本 地 计算 机 策略 。 要 打开 * 本 地 计 
算 机 ?策略 管理 单元 ,操作 步骤 为 : 单 击 “ 开 始 ” 一 “运行 ”, 在 “打开 ”中 输入 mmc, 单 击 “ 确 
定 ” 按 钮 ,启动 MMC, 单 击 MMC 的 “文件 "菜单 .选中 “添加 /删除 管理 单元 ”, 打 开 “ 添 加 / 
加 除 管理 单元 ”对 话 框 , 单 击 “ 独 立 ” 选 项 卡 内 的 “添加 ”按钮 ,打开 “添加 独立 管理 单元 ”对 
话 框 ,向 下 滚动 “可 用 的 独立 管理 单元 ”列表 ,选中 “组 策略 对 象 编辑 器 ”, 单 击 “ 添 加 ”按钮 ， 
打开 选择 “组 策略 对 象 "对 话 框 ,确保 “本 地 计算 机 ?出 现在 “组 策略 对 象 " 框 中 , 单 击 “完成 ” 
按钮 , 单 击 * 关 闭 ? 按 钮 ,关闭 “添加 独立 管理 单元 对话 框 , 单 击 * 确 定 ?按钮 ,关闭 “添加 / 删 
除 管理 单元 ?对 话 框 。 如 图 6-4 所 示 ,“ 本 地 计算 机 ”策略 管理 单元 已 经 添加 到 了 MMC 控 
制 台中 。 
提示 : 在 如 图 6-5 所 示 的 对 话 框 中 , 单 击 “浏览 ”按钮 ,将 弹出 “浏览 组 策略 对 象 ” 对 话 
框 ,可 选择 网 络 中 的 任何 域 .组 织 单位 、 站 点 或 计算 机 (这 台 计 算 机 或 男 一 台 计 算 机 ) 的 组 
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策略 对 象 。 


选择 一 个 项 目 来 查看 它 的 描述 。 


A R LEE 


图 6-4 本 地 计算 机 策略 


EE 
欢迎 使 用 组 策 咯 向 导 时 
= 


| Active Directory 中 或 本 
. 
请 用 “浏览 ”按钮 以 选择 组 策略 对 象 。 


姐 第 略 对 象 


浏览 @@)... 


— my | 


图 6-5 组 策略 向 导 


2. 在 “Active Directory 用 户 和 计算 机 ”中 打开 组 策略 管理 单元 


利用 “Active Directory 用 户 和 计算 机 ”管理 单元 ,可 以 为 Active Directory 对 象 ( 例 如 
域 . 组 织 单位 和 站 点 ) 创 建新 的 GPO 或 编辑 已 有 的 GPO。 操 作 步 又 为 : 打开 “Active 


Directory 用 户 和 计算 机 ”管理 单元 , 右 击 要 设置 组 策略 的 域 或 组 织 单位 一 “ 


局 性”, 单 击 


“组 策略 ?选项 卡 ,在 “组 策略 对 象 链接 ?列表 中 , 单 击 * 新 建 ? 创 建 一 个 新 的 GPO ,然后 单 击 
“编辑 ”。 或 者 选中 一 个 已 有 的 GPO, 然 后 单 击 “ 编 辑 ”, 从 而 启动 所 选 域 或 组 织 单位 的 组 


策略 管理 单元 。 
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3. 在 “Active Directory 站 点 和 服务 "中 打开 组 策略 管理 单元 


利用 “Active Directory 站 点 和 服务 ”管理 单元 ,可 以 为 Active Directory 站 点 创建 新 
的 GPO 或 编辑 已 有 的 GPO。 操 作 步 又 为 : 打开 “Active Directory 站 点 和 服务 ”管理 单 
元 , 右 击 要 设置 组 策略 的 站 点 一 “属性 ”, 单 击 “ 组 策略 ”选项 卡 ,在 “组 策略 对 象 链接 ”列表 
中 , 单 击 “ 新 建 " 创 建 一 个 新 的 GPO, 然 后 单 击 “ 编 辑 "。 或 者 选中 一 个 已 有 的 GPO, 然 后 
单 击 “ 编 辑 ”, 从 而 启动 选中 站 点 的 组 策略 管理 单元 。 

提示 : 微软 公司 还 另外 提供 了 一 个 名 为 Microsoft Group Policy Management 
Console(GPMC) 的 管理 工具 ,使 管理 员 能 够 更 容易 地 管理 组 策略 。 


6.1.4 配置 计算 机 和 用 户 的 组 策略 


GPO 中 包含 两 个 不 同 的 节点 :“ 计 算 机 配置 "和 “用 户 配置 ”。 

(1) 计算 机 配置 。 定 义 的 设置 有 操作 系统 设置 、 桌 面 设置 、 安 全 设置 .启动 /关机 脚本 
的 设置 ,已 分 派 的 应 用 程序 选项 以 及 应 用 程序 设置 。 在 操作 系统 初始 化 以 及 系统 刷新 时 ， 
将 应 用 与 计算 机 相关 的 组 策略 。 一 般 来 说 ,在 计算 机 的 组 策略 与 用 户 的 组 策略 发 生 冲 突 
时 ,将 优先 应 用 计算 机 的 组 策略 。 

(2) 用 户 配 置 。 定 义 的 设置 有 操作 系统 设置 .桌面 设置 .安全 设置 .已 分 派 和 已 发 行 
的 应 用 程序 选项 ,应 用 程序 设置 .文件 夹 重 定向 选项 以 及 登录 /注销 脚本 。 在 用 户 登录 到 
计算 机 以 及 在 系统 刷新 时 ,将 应 用 与 用 户 相关 的 组 策略 。 

通过 编辑 GPO 可 以 配置 组 策略 设置 ,从 而 定义 影响 用 户 和 计算 机 的 策略 。 可 以 配 
置 的 组 策略 设置 的 类 型 如 下 。 

(1) 管理 模板 。 用 于 配置 应 用 程序 以 及 用 户 桌 面 环境 的 基于 注册 表 的 设置 。 这 些 设 
置 包括 用 户 能 够 访问 的 操作 系统 组 件 和 应 用 程序 ,用 户 对 * 控 制 面 板 ?的 访问 级 别 以 及 用 
户 对 脱 机 文件 的 控制 级 别 。 

(2) 安全 设置 。 用 于 配置 本 地 计算 机 、 域 和 网 络 安全 性 的 设置 。 这 些 设置 包括 对 用 
户 访问 网 络 的 控制 、 对 账户 和 审核 策略 的 设置 以 及 对 用 户 权限 的 控制 。 

(3) 软件 安装 。 为 用 户 提供 一 个 可 以 获得 应 用 程序 的 集中 位 置 ,在 客户 端 计算 机 自 
动 进行 应 用 程序 的 安装 、 更 新 或 删除 。 

(4) 脚本 。 指 定 在 计算 机 启动 /关闭 .用 户 登 录 / 注 销 时 运行 脚本 ,可 以 指定 某 些 脚本 
执行 批 处 理 操 作 ,控制 多 个 脚本 以 及 指定 脚本 的 运行 顺序 。 

(5) 远程 安装 服务 。 控 制 用 户 在 使 用 “远程 安装 服务 ”运行 “客户 安装 向 导 ” 时 的 可 用 

(6) Internet Explorer 维护 。 管 理 和 自 定义 Internet Explorer 的 设置 。 

(7) 文件 夹 重 定向 。 用 于 将 用 户 的 文件 夹 ( 例 如 “我 的 文档 ”文件 夹 ) 重 定向 到 网 络 服 
务 器 上 的 一 个 共享 文件 夹 内 。 
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6.1.5 应 用 组 策略 的 时 间 


当 修 改 了 站 点 、 域 或 OU 的 GPO 配置 后 ,这 些 配置 并 不 是 立即 就 应 用 到 站 点 、 域 或 
OU 内 的 用 户 与 计算 机 。 应 用 GPO 配置 的 具体 时 间 与 修改 的 是 计算 机 配置 还 是 用 户 配 
置 有 关 。 


1. 计算 机 配置 的 启用 时 间 


(1) 计算 机 开机 时 自动 启用 。 

(2) 即使 计算 机 不 重新 开机 ,系统 仍然 会 每 隔 一 段 时 间 自 动 启 用 。 域 控制 器 默认 每 
隔 5min 自动 启用 , 非 域 控制 器 默认 每 隔 90 一 120min 自动 启用 ,而 且 无 论 策略 配置 值 是 
和 否 有 变动 ,系统 仍然 会 每 隔 16h 自动 启用 一 次 。 

(3) 手动 启用 。 在 命令 提示 符 中 执行 gpupdate/target: computer /force 命令 。 


2. 用 户 配置 的 启用 时 间 


(1) 用 户 登录 时 自动 启用 。 

(2) 即使 用 户 不 注销 、 登 录 , 系 统 仍 默认 每 隔 90 一 120min 自动 启用 ,而 且 不 论 策略 配 
置 值 是 否 有 变动 ,系统 仍然 会 每 隔 16h 自动 启用 一 次 。 

(3) 手动 启用 。 在 命令 提示 符 中 执行 gpupdate/target: user/force 命令 。 

提示 : 打开 “事件 查看 器 "中 的 “应 用 程序 "日志, 双击 来 源 为 SceCli 的 事件 ,检查 组 策 
略 是 否 已 经 启用 成 功 。 部 分 的 组 策略 配置 ,必须 等 待 计算 机 重新 启动 或 用 户 登 录 时 才 有 
效 ,例如 “软件 安装 策略 ”与 “文件 夹 重 定向 策略 ”等 。 


6.2 使 用 组 策略 对 象 


如 果 现 有 的 GPO 设置 已 经 可 以 满足 需求 ,那么 就 可 以 把 该 GPO 直接 链接 到 站 点 、 
域 或 组 织 单位 。 如 果 要 创建 新 的 GPO 或 者 编辑 现 有 的 GPO 时 ,默认 的 操作 是 对 域 控制 
器 上 的 GPO 进行 管理 ,而 这 些 域 控制 器 必须 是 主 域 控制 器 (PDC) 模 拟 器 的 角色 。 


6.2.1 创建 组 策略 对 象 


可 以 创建 有 链接 的 GPO, 也 可 以 创建 无 链接 的 GPO。 要 创建 链接 到 站 点 、 域 或 组 织 
单位 的 GPO 时 ,要 先 创建 一 个 新 的 GPO, 然 后 将 其 链接 到 站 点 \ 域 或 组 织 单位 , 需 满足 以 
下 条 件 。 

(1) 必须 具有 对 与 GPO 相 链 接 的 站 点 、 域 或 组 织 单位 的 gPLink 和 gPOptions 两 个 
属性 的 “ 读 取 ”和 “ 写 入 ”权限 。 

(2) 默认 情况 下 ,只 有 Domain Admins 和 Enterprise Admins 组 的 成 员 才 拥有 将 
GPO 链接 到 域 和 组 织 单 位 的 必要 权限 ,只 有 Enterprise Admins 组 的 成 员 才 拥有 将 GPO 
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链接 到 站 点 的 必要 权限 。 
(3) Group Policy Creator Owners 组 的 成 员 能 够 创建 GPO ,但 不 能 将 其 链接 到 站 点 、 
域 或 组 织 单位 。 


1. 创建 有 链接 的 组 策略 对 象 


要 为 域 或 组 织 单位 创建 有 链接 的 GPO ,操作 步骤 为 : 打开 “Active Directory 用 户 和 
计算 机 ”, 右 击 要 为 其 创建 GPO 的 域 或 组 织 单位 一“ 属性 ”一 “组 策略 ”选项 卡 , 单 击 “ 新 
建 ”, 输 入 新 建 GPO 的 名 称 , 然 后 按 Enter 键 。 新 建 的 GPO 会 出 现在 “组 策略 ”选项 卡 中 
的 GPO 列表 内 ,这 样 该 列表 中 的 GPO( 包 括 新 建 的 GPO) 就 链接 到 了 与 该 选项 卡 所 对 应 
的 组 织 单位 或 域 上 了 。 

提示 : 利用 “Active Directory 站 点 和 服务 ”管理 单元 可 创建 链接 到 站 点 的 GPO, 只 有 
Enterprise Admins 组 的 成 员 , 才 能 创建 链接 到 站 点 的 GPO。 


2. 创建 无 链接 的 组 策略 对 象 


在 实际 环境 中 ,可 能 会 由 一 个 组 负责 创建 GPO, 而 由 另外 一 个 组 负责 把 创建 的 GPO 
链接 到 所 需 的 站 点 , 域 或 组 织 单位 。 

要 创建 无 链接 的 GPO ,操作 步骤 为 : 单 击 * 开 始 ”>“ 运 行 ”, 在 “打开 ”中 输入 mmc, 单 
击 “ 确 定 ” 按 钮 ,启动 MMC, 单 击 MMC 的 “文件 ”菜单 ,选中 “添加 /删除 管理 单元 ”, 打 开 
“添加 /删除 管理 单元 ”对 话 框 , 单 击 “ 独 立 ” 选 项 卡 内 的 “添加 ”按钮 ,打开 “添加 独立 管理 单 
元 ”对 话 框 ,向 下 深 动 “可 用 的 独立 管理 单元 "列表 ,选中 “组 策略 对 象 编辑 器 ”, 单 击 “ 添 
加 ”, 打 开 选 择 “ 组 策略 对 象 对 话 框 ,在 选择 “组 策略 对 象 ” 对 话 框 中 , 单 击 “ 浏 览 ” 按 钮 ,在 
“浏览 组 策略 对 象 "对 话 框 中 , 单 击 “ 全 部 ”选项 卡 ,在 “存储 在 本 域 中 的 所 有 组 策略 对 象 " 列 
表 中 碳 击 , 单 击 “ 新 建 " 一 输入 新 建 GPO 的 名 称 , 按 Enter 键 确认 , 单 击 “ 确 定 ” 按 钮 ,关闭 
“浏览 组 策略 对 象 " 对 话 框 。 

要 编辑 新 建 的 GPO, 可 以 在 选择 “组 策略 对 象 " 对 话 框 中 单 击 * 完 成 ”按钮 ,然后 在 控 
制 台 树 中 编辑 新 建 的 GPO。 


6.2.2 链接 现 有 组 策略 对 象 


1. 将 现 有 GPO 链接 到 域 和 组 织 单位 

要 将 现 有 GPO 链接 到 域 和 组 织 单位 ,操作 步骤 为 : 打开 “Active Directory 用 户 和 计 
算 机 ”, 右 击 要 与 现 有 GPO 相 链 接 的 域 或 组 织 单位 一 “属性 ”一 “组 策略 ”选项 卡 , 单 击 “ 添 
加 ”按钮 , 单 击 “ 添 加 组 策略 对 象 链接 ”对 话 框 中 的 选项 卡 ( 例 如 域 /OUs、 站 点 或 全 部 ) ,在 
“查找 范围 ”下 拉 框 中 ,选择 要 与 之 链接 的 GPO 所 在 的 域 ,在 组 策略 对 象 列表 中 ,选择 要 
与 之 链接 的 GPO, 单 击 “ 确 定 ” 按 钮 。 


2. 将 现 有 GPO 链接 到 站 点 
利用 “Active Directory 站 点 和 服务 ”管理 单元 .任何 Enterprise Admins 组 的 成 员 都 
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能 够 将 现 有 GPO 链接 到 站 点 上 。 默 认 情 况 下 ,只 有 Enterprise Admins 组 的 成 员 才 能 够 
将 现 有 的 GPO 链接 到 站 点 上 。 但 是 任何 一 个 对 这 个 现 有 的 GPO 具有 “ 读 取 ” 和 “ 写 入 ” 
权限 的 用 户 都 能 对 它 进行 更 改 , 一 旦 这 个 被 更 改 的 GPO 被 链接 到 了 站 点 上 ,该 GPO 将 
会 影响 整个 站 点 ,可 能 会 造成 严重 的 后 果 。 因 此 最 好 为 站 点 创建 新 的 GPO, 而 不 是 将 现 
有 GPO 链接 到 站 点 上 。 


6.3 组 策略 的 处 理 规则 


应 用 到 用 户 或 计算 机 的 组 策略 设置 是 根据 许多 规则 确定 的 。 只 有 充分 理解 了 这 些 规 
则 ,才能 灵活 地 管理 用 户 与 计算 机 的 环境 ,达到 预期 的 管理 效果 。 

组 策略 的 继承 与 处 理 规则 ,也 就 是 应 用 组 策略 的 顺序 ,将 决定 哪些 组 策略 设置 最 终 会 
影响 用 户 和 计算 机 。 


1. 一 般 的 继承 与 处 理 规则 


一 般 的 继承 与 处 理 规则 如 下 。 

(1) 如 果 父 容器 配置 了 组 策略 ,但 其 子 容器 未 配置 组 策略 , 则 子 容 器 将 继承 父 容 器 配 
置 的 组 策略 。 

(2) 如 果子 容器 配置 了 组 策略 , 则 此 配置 会 覆盖 由 其 父 容器 所 传递 下 来 的 组 策略 
配置 。 

(3) 组 策略 的 配置 具有 累加 性 。 例 如 ,如 果 在 “市 场 部 ”OU 内 建立 了 GPO, 同 时 在 
域 . 站 点 内 都 有 GPO, 则 域 .站 点 与 OU 内 的 所 有 GPO 配置 值 都 将 被 累加 起 来 作为 “市 场 
部 ”OU 最 后 有 效 的 组 策略 配置 。 

(4) 处 理 GPO 的 先后 顺序 是 : 站 点 的 GPO 一 域 的 GPO 一 OU 的 GPO。 当 域 . 站 点 
与 OU 之 间 的 GPO 配置 发 生 冲突 时 , 则 以 处 理 顺 序 在 后 的 GPO 优先 ,因此 OU 的 GPO 
配置 优先 。 

(5) 先 处 理 * 计 算 机 配置 *, 再 处 理 * 用 户 配置 *。 如 果 * 计 算 机 配置 "与 “用 户 配置 发 
生 冲 突 , 大 多 情况 下 却 是 以 “计算 机 配置 ”优先 。 

(6) 如 果 将 多 个 GPO 链接 到 同一 个 OU ,那么 所 有 GPO 的 配置 将 被 累加 起 来 ,作为 
这 个 OU 最 后 有 效 的 组 策略 配置 ,如 果 这 些 GPO 的 配置 发 生 冲 突 , 则 将 排 在 GPO 列表 
顶端 的 GPO 配置 优先 。 

(7) 在 域 环境 中 ,“ 本 地 计算 机 策略 ”内 的 组 策略 配置 如 果 与 站 点 、 域 或 OU 的 组 策略 
配置 发 生 冲 突 , 则 站 点 , 域 或 OU 的 配置 优先 ,“ 本 地 计算 机 策略 ”的 配置 无 效 。 


2. 例外 的 组 策略 处 理 规 则 


除了 一 般 的 继承 与 处 理 规则 外 ,还 可 以 配置 以 下 例外 规则 。 

(1) 阻止 策略 继承 。 通 过 选择 子 容器 内 “阻止 策略 继承 ”选项 来 设置 子 容器 不 继承 由 
父 容器 传递 来 的 所 有 GPO 配置 ,也 就 是 只 以 子 容器 的 GPO 作为 组 策略 的 配置 。 如 果子 
容器 的 GPO 内 设置 为 “尚未 配置 ”, 则 采用 默认 值 。 
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(2) 禁止 蔡 代 。 选 择 父 容器 中 的 GPO 链接 (例如 公司 安全 策略 ) , 单 击 “ 选 项 ”, 在 链 

接 选项 中 ,选中 “禁止 蔡 代 ”选项 ,可 以 强制 子 容器 必须 继承 此 GPO 内 的 组 策略 设置 ,而 
不 论 子 容器 是 否 设置 了 “阻止 策略 继承 ”。 如 图 6-6 所 示 ,设置 在 xyz. net 域 上 的 “公司 安 
全 策略 ”, 此 策略 将 会 强制 应 用 到 域内 的 所 有 用 户 、 计 算 机 上 。“ 禁 止 蔡 代 ”的 优先 级 高 于 
“阻止 策略 继承 ”的 优先 级 ,因此 “禁止 蔡 代 ”能 使 所 有 的 组 策略 设置 都 能 得 到 应 用 。“ 禁 止 
替代 ?选项 是 设置 在 链接 上 的 ,而 不 是 在 GPO 上 。 如 果 某 GPO 链接 到 多 个 容器 ,那么 可 
以 互相 独立 地 为 每 个 容器 设置 “禁止 替代 ”选项 。 

xyz- net 尾 性 0 31xj 

常规 | 管理 者 组 第 咯 | 

xyz 的 当前 组 策略 对 象 链 接 


Defanlt Donain Policy 


有 公司 安全 策略 选项 


图 6-6 阻止 策略 继承 和 禁止 替代 选项 


(3) 组 策略 筛选 

默认 情况 下 ,位 于 容器 内 的 所 有 用 户 与 计算 机 ,默认 对 该 容器 的 GPO 都 具有 “ 读 取 ” 
与 “应 用 组 策略 ”权限 ,因此 ,在 某 个 容器 上 建立 GPO 后 .此 GPO 的 设置 将 被 应 用 到 这 个 
容器 内 的 所 有 用 户 与 计算 机 。 组 策略 筛选 可 以 设置 此 GPO 不 应 用 到 特定 的 用 户 、 组 或 
计算 机 对 象 。 

例如 ,“ 市 场 部 "OU 的 GPO 配置 可 以 限制 所 有 市 场 部 员工 的 工作 环境 ,通过 组 策略 
筛选 设置 ,可 以 不 限制 市 场 部 内 用 户 “* 王 武 ?的 工作 环境 。 

要 实现 组 策略 筛选 ,操作 步骤 为 : 选择 “市 场 部 ”OU 的 GPO 链接 一 “属性 ”一 “安全” 
选项 卡 ,Authenticated Users 表示 所 有 经 过 身份 验证 的 用 户 与 计算 机 ,其 默认 的 权限 为 
允许 读 取 和 应 用 组 策略 。 若 不 想 将 此 GPO 的 设置 应 用 到 此 容器 内 的 用 户 wangwu, 则 只 
需 单 击 “ 添 加 ”按钮 ,添加 用 户 wangwu, 然 后 “拒绝 ”wangwu 的 这 两 个 权限 即 可 ,如 图 6-7 
所 示 。 
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[二 是 :3 J 
党 规 | 链接 ”安全 | mr 十 器 | 


姐 或 用 户 名 称 @@) - 
给 Domain Atnins DTZ\Domain Adnins) 
Enterprise Atnins DYZ\Enterprise hdnins) 


图 6-7 实现 组 策略 筛选 


6.4 计算 机 安全 策略 


网 络 管理 员 必 须 采 取 各 种 安全 措施 来 确保 用 户 的 计算 机 环境 和 系统 服务 的 安全 。 使 
用 组 策略 中 的 安全 设置 策略 ,可 以 防止 用 户 破 坏 计 算 机 的 各 种 设置 ,保障 用 户 环境 和 网 络 
的 安全 。 

实现 安全 策略 最 有 效 的 方式 是 使 用 安全 模板 ,安全 模板 是 一 系列 安全 设置 的 集合 ,并 
可 根据 组 织 需要 ,调整 安全 模板 的 设置 。 使 用 安全 模板 可 以 简化 定义 和 实现 一 组 标准 的 
组 策略 的 过 程 。 利 用 Windows 2003 提供 的 安全 配置 和 分 析 工 具 , 可 以 对 用 户 和 计算 机 


的 安全 策略 进行 分 析 和 配置 。 
Windows Server 2003 还 提供 了 审核 功能 ,管理 员 可 以 通过 分 析 安 全 日 志文 件 查看 
资源 的 被 访问 情况 。 


实施 安全 策略 可 以 设置 每 台 计算 机 的 本 地 安全 策略 来 配置 单 台 计 算 机 ,也 可 以 设置 
域 中 的 组 策略 来 配置 多 台 计算 机 。 使 用 何 种 方式 取决 于 公司 的 规模 及 其 安全 需求 。 在 较 
小 规模 的 或 不 使 用 Active Directory 服务 的 网 络 中 ,可 为 每 台 计算 机 配置 本 地 安全 设置 策 
略 , 这 些 安全 策略 仅 影响 本 地 计算 机 。 在 使 用 Active Directory 服务 的 较 大 规模 的 网 络 
中 ,可 以 在 域 . 组 织 单位 层次 上 应 用 安全 策略 ,确保 提供 高 级 别 的 安全 性 。 

域 安全 策略 会 影响 域 中 的 工作 站 和 成 员 服务 器 。 组 织 单位 安全 策略 会 影响 该 组 织 单 
位 内 的 所 有 用 户 和 计算 机 等 对 象 。 域 控制 器 安全 策略 就 是 在 Active Directory 的 Domain 
Controllers 组 织 单位 上 实施 的 安全 策略 。 

以 本 地 安全 策略 、 域 安全 策略 和 域 控 制 器 安全 策略 为 例 ,介绍 安全 策略 的 设置 方法 。 
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1. 本 地 安全 策略 的 设置 


在 非 域 控制 器 的 计算 机 上 , 单 击 “开始 ”一 "管理 工具 ”本 地 安全 策略 ”一 打开 “本 地 
安全 设置 "管理 单元 ,如 图 6-8 所 示 。 安 全 策略 主要 包括 账户 策略 和 本 地 策略 。 


文件 四” 操作) 查看 YW) 帮助 中 
守 小 | 名 | 加 | 区 | 包 固 


和 由 人 国 用 户 权限 分 配 
外国 安全 选项 
由 - 国 公 钥 第 略 
外 软件 限制 第 略 
轧 了 安全 策略 ,在 本 地 计算 机 


图 6-8 本 地 安全 设置 


1) 账户 策略 的 设置 
在 账户 策略 中 ,可 以 配置 密码 策略 和 账户 锁定 策略 ,用 于 减少 未 经 授权 的 用 户 访问 网 


络 的 可 能 性 。 
展开 “安全 设置 "一" 账户 策略 "一 “密码 策略 ”, 可 以 设置 与 账户 密码 有 关 的 策略 ,如 


图 6-9 所 示 。 
文件 如 操作 和) 查看 帮助 0 
丰 | 加 | 男 |% 区 |@ 国 
轩 | 这 码 策 吕 | 


已 启用 

8 个 字符 

42 天 

0 天 
国 强 制 礼 码 历史 0 个 记性 的 密码 
项 用 可 还 原 的 加 密 来 储存 室 码 已 禁用 


四 -图 软件 限制 策略 
锅 I 安全 策略 ,在 本 地 计算 机 


图 6-9 密码 策略 


(1) 密码 必须 符合 复杂 性 要 求 。 如 果 启 用 该 项 , 则 密码 必须 满足 : 不 可 以 包含 用 户 
账户 名 称 的 全 部 或 部 分 文字 ;至 少 要 6 个 字符 ;至 少 要 包含 A 一 Z.a 一 z.0 一 9, 非 字母 数字 
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(例如 !、 兰 、#、%%) 等 4 组 字符 中 的 3 组 。 

(2) 密码 最 长 使 用 期 限 。 用 来 设置 密码 最 长 的 使 用 期 限 。 如 果 密 码 的 使 用 期 限 已 
到 , 则 用 户 在 登录 时 系统 会 要 求 用 户 更 改 密码 。 如 果 设 为 0, 表 示 密 码 没有 使 用 期 限 , 可 
以 一 直 使 用 。 默 认 值 是 42 天 。 

(3) 密码 最 短 使 用 期 限 。 用 来 设置 密码 最 短 的 使 用 期 限 ,在 未 到 期 前 ,用 户 不 得 更 改 
密码 。 如 果 设 为 0, 则 表示 用 户 可 以 随时 更 改 密码 。 默 认 值 是 0。 

(4) 强制 密码 历史 。 用 来 记录 用 户 使 用 密码 的 历史 。 在 用 户 设置 新 密码 时 ,以 便 决 
定 是 否 允 许 用 户 使 用 曾经 使 用 过 的 旧 密 码 。 此 处 的 值 可 为 0 一 24, 默 认 值 是 0。1 一 24 表 
示 要 保存 密码 历史 记录 。 例 如 ,如 果 设 为 6, 则 用 户 的 新 密码 不 能 与 前 6 次 使 用 过 的 旧 密 
码 相同 。0 表示 不 保存 密码 历史 记录 。 密 码 可 以 重复 使 用 ,也 就 是 用 户 在 更 改 密码 时 ,可 
以 使 用 以 前 使 用 过 的 旧 密 码 。 

(5) 密码 长 度 最 小 值 。 用 来 设置 用 户 的 密码 至 少 需要 几 个 字符 。 此 处 的 值 可 为 
0 一 14, 如 果 设 为 0, 则 表示 可 以 没有 密码 。 默 认 值 是 0。 

(6) 用 可 还 原 的 加 密 来 存储 密码 。 此 项 为 某 些 应 用 程序 提供 支持 ,这 些 应 用 程序 使 
用 的 协议 需要 用 户 密码 来 进行 身份 验证 。 使 用 可 还 原 的 加 密 储存 密码 与 储存 纯 文本 密码 
在 本 质 上 是 相同 的 。 因 此 ,除非 应 用 程序 需求 比 保护 密码 信息 更 重要 ,否则 绝 不 要 启用 此 
策略 。 

展开 “安全 设置 ”一 账户 策略 ”账户 锁定 策略 ”, 可 以 设置 与 账户 锁定 相关 的 策略 ， 
如 图 6-10 所 示 。 


文件 EF) 操作 () 查看 QW) 帮助 0 
个 小 | 外 | 加 |X 妈 | 邓 团 


图 6-10 账户 锁定 策略 


(1) 账户 锁定 阅 值 。 用 来 设置 用 户 登录 失败 超过 一 定 的 次 数 后 ,就 将 该 用 户 账户 锁 
定 。 在 解除 锁定 之 前 ,用 户 无 法 再 利用 该 账户 登录 。 此 处 的 值 为 0 一 999, 如 果 设 为 0, 则 
表示 账户 永远 不 会 被 锁定 。 默 认 值 是 0。 

(2) 账户 锁定 时 间 。 用 来 设置 锁定 账户 的 持续 时 间 , 过 了 这 段 时 间 之 后 就 自动 解除 
锁定 。 此 处 的 值 为 0 一 99999min, 如 果 设 为 0min, 则 表示 该 账户 将 被 永久 锁定 ,不 会 自动 
解除 锁定 ,除非 系统 管理 员 手 工 解除 锁定 ,也 就 是 将 用 户 账户 属性 中 的 “账户 已 锁定 ”选项 
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清除 。 

(3) 复位 账户 锁定 计数 器 。“ 锁 定 计数 器 ”是 用 来 记录 用 户 登录 失败 的 次 数 ,初始 值 
为 0, 如果 用 户 登 录 失 败 , 则 锁定 计数 器 的 值 就 会 增加 1。 如 果 登 录 成 功 , 则 锁定 计数 器 的 
值 就 会 归 0。 如 果 锁 定 计 数 器 的 值 等 于 账户 锁定 阔 值 ,该 账户 就 会 被 锁定 。 可 以 设置 登 
录 失 败 的 时 间 间 隔 , 以 便 使 锁定 计数 器 的 值 在 间隔 时 间 到 后 自动 归 0。 

以 图 6-11 中 的 设置 为 例 进行 说 明 , 如 果 用 户 连续 3 次 登录 失败 ,其 账户 就 会 被 锁定 
但 是 在 被 锁定 之 前 (尚未 连续 3 次 登录 失败 ), 如 果 前 一 次 登录 失败 后 到 这 一 次 失败 之 间 
的 间隔 时 间 已 经 超过 30min, 则 锁定 计数 器 的 值 就 会 从 0 开始 计算 ,也 就 是 这 次 登录 失败 
仍然 算是 第 1 次 。 


文件 四 ”操作 由 查看 册 。 和 助 0 
Ci 


图 6-11 账户 锁定 策略 的 设置 


2) 本 地 策略 

本 地 策略 包含 “审核 策略 ” “用户 权限 分 配 ”与 “安全 选项 ”。 关 于 “审核 策略 ”, 在 后 面 
的 章节 中 介绍 ,在 此 仅 介 绍 后 两 项 。 

展开 “安全 设置 ">“ 本 地 策略 >“ 用户 权限 分 配 ”, 可 以 将 执行 特殊 任务 的 权限 分 配 
给 用 户 或 组 ,如 图 6-12 所 示 。 


文件 四 换 作 外 查看 WD 寺 助 0D 
中 小 | 向 | 加 |X 区 | 包 团 


Adninistrators, Backup Operators 


LOCAL SERVICE, NETWORK SERVICE, IWA 


LDCAL SERVICE, Adninistrators, Powe: 
Adninistrators, Power Users, Backup 
Adninistrators 

Adninistrators, Backup Operators 


SUPPORT._388945a0, ASPRET 


i 


图 6-12 用 户 权 限 分 配 
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要 将 执行 特殊 任务 的 权限 分 配给 用 户 或 组 ,双击 某 策略 项 或 右 击 某 策略 项 设置 其 属 
性 。 假 设 要 给 某 用 户 或 组 分 配 “从 远程 系统 强制 关机 ”的 权限 ,在 出 现 图 6-13 时 , 单 击 “ 添 
加 用 户 或 组 ”按钮 ,添加 要 授予 该 权限 的 用 户 或 组 即 可 。 


从 远程 条 撤 腔 制 关 机 尾 性 


图 6-13 ”从 远程 系统 强制 关机 策略 设置 


下 面 仅 介绍 常见 的 用 户 权限 策略 。 

(1) 允许 在 本 地 登录 。 人 允许 用 户 在 本 地 计算 机 上 登录 。 

(2) 拒绝 本 地 登录 。 拒 绝 用 户 在 本 地 计算 机 上 登录 ,此 权限 优先 于 “允许 在 本 地 登 
录 ” 的 权限 。 

(3) 域 中 添加 工作 站 。 人 允许 用 户 将 客户 端 计算 机 加 入 域 。 

(4) 关闭 系统 。 人 允许 用 户 关闭 计算 机 。 

(5) 从 网 络 访问 此 计算 机 。 人 允许 用 户 通过 网 络 上 的 其 他 计算 机 访问 该 计算 机 内 的 
(6) 拒绝 从 网 络 访问 此 计算 机 。 拒 绝 用 户 通过 网 络 上 的 其 他 计算 机 来 访问 该 计算 机 
内 的 资源 ,此 权限 优先 于 “从 网 络 访问 此 计算 机 ”的 权限 。 

(7) 从 远程 系统 强制 关机 。 人 允许 用 户 从 远程 计算 机 关闭 此 计算 机 。 

(8) 备份 文件 和 目录 。 人 允许 用 户 备 份 硬 盘 中 的 文件 与 文件 夹 。 

(9) 还 原文 件 和 目录 。 人 允许 用 户 还 原 所 备份 的 文件 与 文件 夹 。 

(10) 管理 审核 和 安全 日 志 。 人 允许 用 户 指定 要 审核 的 事件 ,查询 与 清除 安全 日 志 。 

(11) 更 改 系统 时 间 。 人 允许 用 户 更 改 计 算 机 内 部 的 系统 日 期 .时 间 。 

(12) 装载 和 印 载 设备 驱动 程序 。 人 允许 用 户 添加 /删除 硬件 ,管理 设备 的 驱动 程序 。 

(13) 取得 文件 或 其 他 对 象 的 所 有 权 。 人 允许 用 户 取得 其 他 用 户 拥有 的 文件 ,文件 夹 或 
对 象 的 所 有 权 。 
展开 “安全 设置 ">“ 本 地 策略 ”>“ 安 全 选项 ”, 可 以 启用 或 禁用 计算 机 的 一 些 安全 设 
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组 策 略 
置 ,如 图 6-14 所 示 。 


文件 四 ”操作 各 查看 ) 和 助人 D 
折 外 | 外 | 加 |X 菇 | 岛国 


一 的 账户 征 略 0CON， 在 安全 搓 符 定义 语言 GI) 语 

日 全 本 地 第 办 在 安全 描述 符 定义 语言 S00L) 语 
由 - 国 审核 第 四 oft 网 服 务 器 : 当 重 好 时 间 用 
由 _ 用 PR 限 9 也 


互 式 登 录 : 不 需要 按 CTRLHALTHDEL 
会 话 锁定 时 显示 用 户 信息 


图 6-14 ”安全 选项 


下 面 仅 介绍 常见 的 安全 选项 。 

(1) 关机 : 允许 系统 在 未 登录 前 关机 。 按 Ctrl 十 Alt 十 Delete 组 合 键 后 , 单 击 “ 登 录 
Windows” 窗 口中 的 “关机 ”按钮 ,在 未 登录 时 就 可 以 关闭 计算 机 。 

(2) 交互 式 登录 : 不 需要 按 Ctrl 十 Alt 十 Delete 组 合 键 。 计 算 机 启动 后 直接 出 现 “ 登 
录 Windows” 的 窗口 ,不 显示 “请 按 Ctrl 十 Alt 十 Delete 组 合 键 开始 ”的 窗口 。 

(3) 交互 式 登录 : 不 显示 上 次 登录 的 用 户 名 。 按 Ctrl 十 Alt 十 Delete 组 合 键 后 ,在 出 
现 的 “登录 Windows” 的 窗口 中 不 显示 上 一 次 登录 的 用 户 名 。 

(4) 交互 式 登录 : 在 密码 到 期 前 提示 用 户 更 改 密码 。 用 来 设置 在 用 户 的 密码 过 期 
前 ,提前 几 天 提示 用 户 更 改 密码 。 

(5) 交互 式 登录 : 用 户 试图 登录 时 消息 标题 /消息 文字 。 系 统 每 次 启动 时 ,都 会 显示 
“请 按 Ctrl 十 Alt 十 Delete 组 合 键 开 始 ” 的 消息 。 如 果 需 要 在 登录 窗口 中 能 自动 显示 一 些 
消息 , 则 可 以 分 别 利用 这 两 项 设置 显示 窗口 的 标题 文字 和 显示 窗口 的 文本 。 

(6) 账户 : 管理 员 账 户 状态 。 确 定 是 启用 还 是 禁用 本 地 管理 员 账 户 ,默认 启用 

(7) 账户 : 来 宾 账 户 状态 。 确 定 是 启用 还 是 禁用 来 宾 账 户 。 默 认 禁 用 。 

(8) 账户 : 使 用 空白 密码 的 本 地 账户 只 允许 进行 控制 台 登 录 。 设置 使 用 空白 密码 的 
本 地 账户 是 否 可 以 从 物理 计算 机 控制 台 之 外 的 位 置 登录 。 默 认 启 用 。 

(9) 账户 : 重 命名 来 宾 账 户 。 来 宾 账 户 默认 为 Guest, 可 重 命 名 为 其 他 名 称 。 

(10) 账户 : 重 命名 系统 管理 员 账 户 。 来 宾 账 户 默认 为 Administrator, 可 重 命名 为 其 
他 名 称 。 重 命名 会 使 未 授权 的 人 猜测 此 用 户 名 和 密码 组 合 的 难度 稍微 大 一 些 。 


2. 域 安全 策略 的 设置 
在 域 控制 器 上 , 单 击 “ 开 始 ”>“ 管 理工 具 ”>“ 域 安全 策略 ”, 打 开 “ 上 默认 域 安全 设置 " 管 
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理 单元 ,如 图 6-15 所 示 。 域 安全 策略 会 影响 域 中 的 工作 站 和 成 员 服 务 器 。 


各 默认 域 安全 设置 
文件 中 操作 必 ) 查看 WD 帮助 吕 
折光 | 外 | 轿 |X 攻 | 鳃 


无 线 网 络 策略 管理 。 为 IEEE 802. 11 


罚 二 安全 策略， 在 Active ， 。 Internet 协议 安全 性 GTsec) 管理 。 


图 6-15 域 安 全 策略 的 设置 


域 安全 策略 的 设置 与 本 地 计算 机 策略 的 设置 大 致 相同 , 需 注意 的 事项 如 下 。 

(1) 域内 的 任何 一 台 计 算 机 ,都 会 受 域 安全 策略 的 影响 。 

(2) 域内 的 计算 机 ,如 果 其 "本 地 安全 策略 ?的 设置 与 * 域 安全 策略 ?的 设置 发 生 冲 突 
时 , 则 以 * 域 安全 策略 ?的 设置 优先 “本 地 安全 策略 ”的 设置 无 效 。 只 有 在 域 安全 策略 的 设 
置 被 设置 成 “没有 定义 ?时 ,本 地 安全 策略 的 设置 才 会 有 效 。 

(3) 修改 * 域 安全 策略 ”以 后 ,应 用 修改 后 的 域 安全 策略 的 时 机 如 下 。 

J@ 安全 策略 有 变化 或 计算 机 重新 启动 时 。 

@ 域 控制 器 每 隔 5min 会 自动 应 用 ;Windows Server 2003 成 员 服 务 器 或 Windows 
XP Professional 每 隔 90 一 120min 会 自动 应 用 。 即 使 安全 策略 设置 没有 任何 更 改 , 所 有 
计算 机 每 隔 16h 也 会 自动 强制 应 用 域 安 全 策略 中 的 所 有 设置 。 

@ 执行 gpupdate /target: computer 命令 手工 刷新 。 如 果 要 强制 应 用 ,请 执行 


gpupdate /target:computer /force 命令 。 
3. 域 控制 器 安全 策略 的 设置 


组 织 单位 的 安全 策略 会 影响 该 组 织 单位 内 的 所 有 用 户 和 计算 机 等 对 象 。 域 控制 器 安 
全 策略 就 是 在 活动 目录 的 Domain Controllers 组 织 单位 上 实施 的 安全 策略 ,如 图 6-16 所 
示 。 域 控制 器 安全 策略 只 会 影响 位 于 Domain Controllers 组 织 单位 内 的 对 象 ,位 于 其 他 
容器 或 组 织 单位 内 的 计算 机 并 不 会 受 该 策略 的 影响 。 

在 域 控 制 器 上 , 单 击 “ 开 始 ”>“ 管 理工 具 ”>“ 域 控制 器 安全 策略 ”, 打 开 “ 默 认 域 控制 
器 安全 设置 "管理 单元 ,如 图 6-17 所 示 。 

“ 域 控制 器 安全 策略 ”的 设置 与 “本 地 安全 策略 ”“ 域 安全 策略 ”的 设置 大 致 相同 , 需 注 
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图 6-16 ” 域 控制 器 安全 策略 的 设置 


文件 安全 设置 
无 贱 网 络 第 四 冲 理 ,为 IEEE 802.11 网 络 客 . 


Internet 协议 安全 性 [FSec) 营 理 , 为 与 别 


6-17 “默认 域 控制 器 安全 设置 "管理 单元 


意 的 事项 如 下 。 

(1) 位 于 Domain Controllers 组 织 单 位 内 的 任何 一 台 域 控制 器 都 会 受 “ 域 控制 器 安 
全 策略 ?的 影响 。 

(2)“ 域 控制 器 安全 策略 与 * 域 安全 策略 ?的 设置 发 生 冲 突 时 ,对 位 于 Domain 
Controllers 组 织 单位 内 的 对 象 来 说 ,默认 是 “ 域 控制 器 安全 策略 ”的 设置 优先 , 即 “ 域 安全 
策略 ”的 设置 无 效 。 例 外 的 是 ,“ 域 安全 策略 ”中 的 “账户 策略 ”设置 会 影响 域内 所 有 的 用 
户 ,当然 也 包括 位 于 Domain Controllers 组 织 单位 内 的 用 户 账户 ,此 时 “ 域 控制 器 安全 策 
略 ? 中 的 “账户 策略 ”设置 对 域 控制 器 无 效 。 
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学 习 目 标 

学 习 完 本 章 后 ,了 解 NetBIOS 名 称 、 主 机 名 称 的 区 别 ,重点 了 解 主 机 名 称 的 解析 过 
程 ,掌握 如 何 利用 DNS 服务 器 解析 计算 机 名 称 ,并 能 熟练 掌握 DNS 服务 器 的 安装 、 配 置 
和 维护 。 


7.1 名 称 解析 概述 


Windows Server 2003 通过 计算 机 名 与 其 他 计算 机 通信 时 ,实际 上 是 要 将 计算 机 名 
解析 为 32 位 的 IP 地 址 ,然后 再 利用 IP 地 址 和 其 他 计算 机 通信 。 由 计算 机 名 解析 为 IP 
地 址 的 过 程 称 为 “名 称 解析 ”。 需 要 解析 的 计算 机 名 称 有 两 种 类 型 : 主机 名 称 和 NetBIOS 
名 称 。 

主机 名 称 最 多 可 达 255 个 字符 ,可 以 包含 字母 和 数字 、 连 字符 和 句号 ,可 以 追加 计算 
机 的 域名 , 即 完全 限定 域名 (Fully Qualified Domain Name, FQDN)。 要 解析 主机 名 称 ， 
可 以 利用 DNS 服务 器 进行 动态 解析 ,或 者 利用 HOSTS 文件 (存储 在 % systemroot%\ 
System32\Drivers\Etc 文件 夹 内 ) 进 行 静态 解析 。 

NetBIOS 名 称 共 有 16 个 字符 ,前 15 个 字符 是 主机 名 称 的 前 15 个 字符 ,第 16 个 字符 
用 来 标识 资源 或 在 计算 机 上 引用 的 服务 。 要 解析 NetBIOS 名 称 ,可 以 利用 WINS 服务 器 
进行 动态 解析 ,或 者 利用 LMHOSTS 文件 (存储 在 % systemroot%\System32\Drivers\ 
Etc 文 件 夹 内 ) 进 行 静态 解析 。 

在 一 个 局 域 网 中 ,一 般 使 用 NetBIOS 名 称 即 可 区 分 不 同 的 主机 。 而 在 Internet 中 一 
般 借助 主机 名 称 区 分 不 同 的 主机 。 主 机 名 称 最 多 可 达 255 个 字符 ,可 以 包含 字母 和 数字 、 
连 字 符 和 句号 ,可 以 追加 计算 机 的 域名 ,构成 完全 限定 域名 (FQDN)。 可 以 利用 DNS 服 
务 器 进行 动态 解析 或 利用 HOSTS 文件 (存储 在 %systemroot%\System32\Drivers\Etc 
文件 夹 内 ) 进 行 静态 解析 。 

在 DNS 服务 器 的 区 域 中 ,可 以 针对 同一 台 主 机 建立 不 同 的 主机 名 称 。 例 如 ,在 一 台 
IP 地 址 为 192. 168. 10. 1 的 服务 器 上 既 做 Web 服务 ,又 做 FTP 服务 ,这 时 可 以 在 xyz. net 
区 域 中 分 别 建立 WWW、FTP 主机 ,其 完整 的 计算 机 名 分 别 为 www. xyz. net、ftp. xyz. 
net, 而 这 两 个 主机 名 对 应 的 是 同一 个 IP 地 址 。 

默认 情况 下 ,主机 名 的 解析 过 程 如 图 7-1 所 示 。 


DNS 服务 器 


9.LMHOSTS 
文件 


8. 广播 


7. WINS 服 务 器 


6 NetBIOS 


5. DNS 服务 器 ”名称 缓存 
图 7-1 主机 名 的 解析 过 程 


7.2 DNS 命名 空间 


DNS 全 称 为 Domain Name System, 整 个 DNS 的 结构 是 一 个 分 层 的 树 状 结构 ,因此 
很 容易 扩展 ,这 个 树 状 结构 称 为 DNS 命名 空间 ,如 图 7-2 所 示 。 


root 根 域 


顶级 域 


一 级 域 


Host 
主机 


PC1 PC100 WWW 
7-2 ”DNS 命名 空间 


1. 根 域 


根 域 位 于 树 状 结构 的 最 顶部 ,用 一 个 小 圆 点 (. ) 代 表 。Internet 中 目前 有 13 台 根 
DNS 服务 器 ,它们 由 多 个 机 构 负 责 管理 ,例如 InterNIC 等 。 


2. 顶级 域 
顶级 域 位 于 根 域 之 下 ,由 2 一 3 个 英文 字母 组 成 。 常 见 的 顶级 域名 如 表 7-1 所 示 。 
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表 7-1 常见 的 顶级 域名 


顶级 域名 说 明 
com 适用 工商 金融 企业 
edu 适用 于 教育 ,学术 研究 单位 
gov 适用 于 官方 政府 单位 
net 适用 于 网 络 服务 机 构 
org 适用 于 财团 法 人 等 非 盈 利 机 构 
mil 适用 于 国防 军事 单位 
biz 适用 于 商业 机 构 
info 适用 于 所 有 用 途 
占 两 个 字符 的 地 区 及 国家 码 例如 cn 表示 中 国 
3. 二 级 域 


二 级 域名 位 于 顶级 域名 之 下 , 供 公司 、 组 织 或 个 人 申请 、 注 册 。 例 如 ,域名 microsoft 
.com 是 由 Microsoft 公司 注册 的 。 在 二 级 域 之 下 ,可 以 再 划分 更 多 的 子 域 。 例 如 ,在 某 
公司 的 xyz. net 域 下 ,为 人 力 资源 部 建立 了 一 个 子 域 ,域名 为 hire. xyz. net, 子 域 域名 的 后 
级 必须 是 其 父 域 的 域名 , 即 子 域 必 须 和 其 父 域 有 连续 的 命名 空间 。 


4. 主机 名 称 


主机 名 称 用 于 识别 Internet 或 局 域 网 中 的 特定 的 计算 机 。 例 如 ,有 一 个 完整 的 计算 
机 名 称 www. xyz. net, 其 中 www 是 主机 名 称 (或 别名 ) 代 表 了 这 台 主 机 在 树 状 结构 中 的 
确切 位 置 。 


7.3 安装 DNS 服务 器 


在 Windows Server 2003 上 安装 DNS 服务 器 之 前 ,要 求 为 该 服务 器 分 配 固定 的 IP 
地 址 , 即 手工 输入 IP 地 址 . 子 网 拖 码 .默认 网 关 等 信息 。 

将 Windows Server 2003 独立 服务 器 升级 为 域 控制 器 时 , 若 安装 程序 找 不 到 DNS 服 
务 器 , 则 它 会 提供 在 此 域 控制 器 内 安装 DNS 服务 器 的 选项 。 

要 在 Windows Server 2003 上 安装 DNS 服务 器 ,操作 步骤 为 : 

(1) 单 击 “ 开 始 ”>“ 控 制 面板 ”>“ 添 加 或 删除 程序 ”>“ 添 加 /删除 Windows 组 件 ” 一 
“网 络 服 务 ”>“ 详 细 信 息 ”。 

(2) 在 图 7-3 中 ,选取 “域名 系统 (DNS)” 组 件 . 单 击 “ 确 定 ” 按 钮 。 

(3) 返回 到 前 一 个 对 话 框 后 , 单 击 “ 下 一 步 ” 按 钮 即 可 开始 安装 DNS 组 件 。 安 装 过 程 
中 可 能 需要 插入 Windows Server 2003 安装 CD。 

完成 安装 后 , 单 击 “ 开 始 ”一 “程序” 一 “管理 工具 ”一 DNS 来 连接 与 管理 DNS 服务 器 。 
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图 7-3 选取 域名 系统 组 件 


7.4 DNS 查询 方式 


安装 了 DNS 服务 器 之 后 ,需要 建立 一 个 区 域 , 才 能 完成 主机 名 称 解析 的 服务 功能 。 
DNS 区 域 分 为 两 大 类 : 正 向 查找 区 域 和 反 向 查找 区 域 。 对 应 于 两 种 查找 区 域 ,DNS 查询 
分 为 正 向 查询 和 反 向 查询 。 


1. 正 向 查询 


正 向 查询 用 于 FQDN 到 IP 地 址 的 映射 , 当 DNS 客户 端 请 求解 析 某 个 FQDN 时 ， 
DNS 服务 器 在 正 向 查找 区 域 中 进行 查找 ,并 返回 给 DNS 客户 端 该 FQDN 对 应 的 IP 
地 址 。 

当 DNS 客户 端 请 求 DNS 服务 器 查找 主机 名 或 域名 对 应 的 IP 地 址 时 ,或 者 此 DNS 
服务 器 向 另外 一 台 DNS 服务 器 查找 主机 名 或 域名 对 应 的 IP 地 址 时 ,有 两 种 查找 模式 。 

(1) 递归 查询 。DNS 客户 端 向 本 地 的 DNS 服务 器 发 送 查 询 请 求 后 , 若 此 DNS 服务 
器 没有 所 需要 的 记录 , 则 此 DNS 服务 器 会 代替 客户 端 向 网 络 上 其 他 的 DNS 服务 器 进行 
查找 。 一 般 由 DNS 客户 端 所 提出 的 查找 请 求 属于 递归 查询 。 

(2) 迭代 查询 。 一 般 DNS 服务 器 与 DNS 服务 器 之 间 的 查找 是 属于 这 种 查找 方式 。 
当 第 一 台 DNS 服务 器 向 第 2 台 DNS 服务 器 发 送 查找 请 求 后 , 若 第 2 台 DNS 服务 器 内 没 
有 所 需要 的 记录 , 则 它 会 提供 第 3 台 DNS 服务 器 的 IP 地 址 给 第 一 台 DNS 服务 器 ,让 第 
一 台 DNS 服务 器 自行 向 第 3 台 DNS 服务 器 进行 查找 。 依 次 这 样 找 下 去 ,直到 找到 要 查 
询 的 主机 名 对 应 的 IP 地 址 。 有 可 能 网 络 上 根本 不 存在 这 个 名 称 , 则 查找 失败 。 

当 DNS 客户 端 向 DNS 服务 器 Server01 查找 www. xyz. net 的 IP 地 址 时 ,DNS 查询 
过 程 如 如 图 7-4 所 示 。 

(1) DNS 客户 端 向 本 地 的 DNS 服务 器 Server01 查找 www. xyz. net 的 IP 地 址 ( 递 
归 查 询 ) 。 


CO 
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查询 www.xyz.net 二 Server04 
的 IP 地 址 


DNS 客 户 端 xyz.net 的 DNS 服 务 器 


pA 


si 
Server01 加 
多 
oa 加 Server02 


root 的 DNS 服务 器 
图 7-4 DNS 查询 过 程 


(2) 若 Server01 内 没有 所 要 查找 的 记录 , 则 Server01 会 将 此 查找 请 求 转发 到 root 的 
DNS 服务 器 Server02( 和 迭代 查询 ) 。 

(3) Server02 从 要 查询 的 主机 名 称 www. xyz. net 得 知 ,主机 位 于 顶级 域 . net 之 下 ， 
因此 会 将 负责 . net 区 域 的 DNS 服务 器 Server03 的 IP 地 址 传送 给 Server01 。 

(4) Server01 得 到 Server03 的 IP 地 址 后 , 它 会 直接 向 Server03 查找 www. xyz. net 
的 IP 地 址 (迭代 查询 )。 

(5) Server03 从 要 查找 的 主机 名 称 www. xyz. net 得 知 此 主机 位 于 xyz. net 域 之 内 ， 
因此 会 将 负责 xyz. net 区 域 的 DNS 服务 器 Server04 的 IP 地 址 传 给 Server01。 

(6) Server01 得 到 Server04 的 IP 地 址 后 , 它 会 向 Server04 查找 www. xyz. net 的 IP 
地 址 (迭代 查询 )。 

(7) 负责 xyz. net 的 DNS 服务 器 Server04 将 www. xyz. net 的 IP 地 址 传送 给 
Server01 。 

(8) Server01 再 将 得 到 的 www. xyz. net 的 IP 地 址 传送 给 DNS 客户 端 。 

DNS 客户 端 得 到 www. xyz. net 的 IP 地 址 后 ,就 可 以 访问 www. xyz.net 了 。 


2. 反 向 查询 


反 向 查询 与 正 向 查询 不 同 。 反 向 查询 用 于 IP 地 址 到 FQDN 的 映射 。 当 DNS 客户 
端 请 求解 析 某 个 IP 地 址 对 应 的 FQDN 时 ,DNS 服务 器 在 反 向 查找 区 域 中 ,使 用 in-addr. 
arpa 域 中 添加 的 专用 指针 (PTR) 记 录 进 行 查找 ,这 些 PTR 记录 将 IP 地 址 与 FQDN 
匹配 。 

例如 ,要 得 到 IP 地 址 为 192. 168. 10. 10 的 完整 的 计算 机 名 ,将 向 本 地 DNS 服务 器 发 
送 一 个 对 10. 10. 168. 192. in-addr. arpa 中 的 PTR 记录 的 一 个 请 求 , 然 后 在 DNS 服务 器 
的 反 向 区 域 中 进行 解析 。 
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7.5 区 域 和 记录 


Windows Server 2003 DNS 服务 器 允许 建立 以 下 4 种 类 型 的 区 域 。 

(1) 主要 区 域 。 用 来 存储 此 区 域内 所 有 记录 的 正本 。 在 DNS 服务 器 内 建立 主要 区 
域 后 ,可 以 直接 在 此 区 域内 新 建 、 修 改 、 删 除 记 录 。 区 域内 的 记录 可 以 存储 在 区 域 文件 
(在 %systemroot%\system32\DNS 文件 夹 ) 内 ,默认 的 文件 名 为 “区 域名 称 . dns”, 例 如 区 
域名 称 为 xyz. net, 则 区 域 文件 默认 的 文件 名 就 是 xyz. net. dns, 它 是 符合 标准 DNS 规格 
的 一 般 文本 文件 。 

(2) 辅助 区 域 。 辅 助 区 域内 的 每 一 项 记录 都 存储 在 “区 域 文件 ”中 ,不 过 它 存储 的 是 
此 区 域内 所 有 记录 的 副本 ,这 份 副 本 信息 是 利用 “区 域 复制 ”的 方式 从 主 DNS 服务 器 复制 
来 的 。 辅 助 区 域内 的 记录 是 只 读 的 ,不 可 修改 的 。 如 图 7-5 所 示 , DNS 服务 器 B 与 DNS 
服务 器 C 内 都 各 有 一 个 辅助 区 域 ,其 内 的 记录 是 从 DNS 服务 器 A 内 复制 过 来 的 , 即 DNS 
服务 器 A 是 它们 的 主 服务 器 。 


NDS 服 务 器 B 辅助 区 域 辅助 区 域 NDS 服务 器 C 
xXyz.com xXyz.com 
(master 服 务 器 为 。 ”(master 服 务 器 为 
DNS 服务 器 A) DNS 服务 器 A) 


7-5 区 域 复制 


(3) 存根 区 域 。 存 根 区 域内 存储 着 一 个 区 域 的 副本 信息 ,不 过 与 辅助 区 域 不 同 的 是 ， 
存根 区 域内 只 包含 少数 记录 (例如 SOA、NS) ,通过 这 些 记录 可 以 找到 此 区 域 的 授权 服 
务 器 。 

(4) Active Directory 集成 区 域 。 在 Windows Server 2003 中 ,只 有 在 DNS 服务 器 是 
域 控制 器 时 才 可 以 使 用 这 种 类 型 。 如 果 DNS 服务 器 是 域 控 制 器 , 则 可 以 将 记录 存储 在 
“区 域 文件 ”或 Active Directory 数据 库 内 。 若 将 记录 存储 到 Active Directory 数据 库 内 ， 
此 区 域内 的 记录 也 将 会 随 着 Active Directory 的 复制 自动 被 复制 到 其 他 的 域 控制 器 。 


1. 建立 主要 区 域 
在 Windows Server 2003 的 DNS 服务 器 中 ,要 新 建 一 个 主要 区 域 .操作 步骤 如 下 。 
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(1) 单 击 “ 开 始 ” 一 “程序” 一 “管理 工具 ”DNS, 打 开 DNS 管理 控制 台 。 
(2) 选择 “DNS 服务 器 ”一 右 击 “ 正 向 查找 区 域 " 一 选择 “新 建 区 域 ”。 
(3) 出 现 “ 欢 迎 使 用 新 建 区 域 向 导 ” 对 话 框 时 , 单 击 " 下 一 步 ” 按 钮 。 

(4) 在 图 7-6 中 ,选择 * 主 要 区 域 " 单 选 按钮 , 单 击 * 下 一 步 ? 按 钮 。 


图 7-6 指定 区 域 类 型 


(5) 在 图 7-7 中 ,输入 区 域名 称 , 例 如 xyz. net。 区 域 记 录 会 被 存储 到 区 域 文件 内 ;如 
果 DNS 服务 嚣 本身 是 域 控制 器 ,而 且 在 上 一 步 中 也 选择 了 “在 Active Directory 中 存储 区 
域 ”, 则 区 域 记 录 会 被 存储 到 Active Directory 数据 库 内 。 单 击 “ 下 一 步 ” 按 钮 。 


图 7-7 指定 区 域名 称 


(6) 在 图 7-8 中 ,使 用 默认 的 区 域 文件 名 称 。 如 果 要 使 用 现 有 的 区 域 文 件 , 则 先 将 该 
文件 复制 到 %systemroot%\system32\dns 文件 内 ,然后 选择 “使 用 此 现存 文件 ” 单 选 按 
钮 ,并 输入 文件 名 称 。 在 此 创建 新 文件 , 单 击 “下 一 步 ? 按 钮 。 

(7) 在 图 7-9 中 ,指定 DNS 区 域 允 许 接受 的 动态 更 新 类 型 ,一般 选 择 “ 不 允许 动态 更 
新 ? 单 选 按钮 , 单 击 * 下 一 步 ?按钮 。 
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(8) 在 “完成 新 建 区 域 向 导 ” 对 话 框 中 , 单 


如 图 7-10 所 示 。 


区 域 文件 
您 可 以 创建 一 个 新 区 域 文件 和 使 用 从 另 一 个 DRS 服务 器 复制 的 文件 . 


图 7-9 指定 动态 更 新 类 型 


图 7-10 正 向 查找 区 域 


“完成 ”按钮 。 成 功 新 建 xyz. net 区 域 后 ， 
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2. 在 正 向 查找 区 域内 新 建 资源 记录 


成 功 建立 DNS 区域 后 ,要 对 外 提供 名 称 解析 ,还 要 在 相应 的 区 域内 建立 资源 记录 , 即 
建立 主机 名 称 与 IP 地 址 的 映射 。DNS 服务 器 支 
持 多 种 不 同类 型 的 资源 记录 ,在 此 只 介绍 常用 的 
资源 记录 。 

1) 新 建 主机 记录 (A) 

要 在 区 域 Xxyz. net 内 新 建 WWW 主机 记录 ， 1 人 
操作 步骤 如 下 。 

右 击 区 域 xyz. net 一 选择 “新 建 主机 ?。 在 
图 7-11 所 示 的 对 话 框 中 ,在 “名 称 ” 中 输入 新 建 
主机 记录 的 名 称 ,只 填写 www, 而 不 是 www. 
xyz. net。 在 “IP 地 址 ”中 输入 该 主机 对 应 的 IP 
地 址 。 如 果 此 JP 地 址 与 DNS 服务 器 在 同一 子 WE ME 
网 内 ,并 且 DNS 服务 器 已 创建 反 向 查找 区 域 , 则 
可 以 选择 “创建 相关 的 指针 (PTR) 记 录 ”, 这 样 会 在 反 向 查找 区 域 同时 添加 该 主机 的 指针 
(PTR) 资 源 记 录 。 单 击 “ 添 加 主机 ”按钮 。 

完成 后 ,如 图 7-12 所 示 。 


[DNSVSEBYEBROI\ 正 向 查找 区 域 Vzyz. aet] 


| 庆 晕 罩 攻 | 七 | 目 卓 旬 


serverOl. 
192.168.10.10 


图 7-12 主机 记录 


在 DNS 客户 端的 命令 提示 符 下 ,执行 ping www. xyz. net 命令 ,测试 是 否 可 以 成 功 
解析 www. xyz. net 的 IP 地 址 192. 168. 10. 10。 重 复 以 上 步骤 ,可 以 为 多 台 主 机 在 DNS 
服务 器 的 xyz. net 区 域内 新 建 主机 记录 。 

2) 新 建 主机 别名 记录 (CNAME) 

要 让 一 台 主 机 拥有 多 个 主机 名 称 , 可 以 为 该 主机 设置 别名 (Canonical Name， 
CNAME) ,例如 ,一 台 主 机 作为 Web 服务 器 使 用 时 ,其 主机 名 为 www. xyz. net, 同 时 又 将 
其 作为 SMTP 服务 器 ,这 时 其 主机 名 为 smtp. xyz. net。 

建立 主机 别名 的 操作 步骤 为 : 在 DNS 控制 台中 , 右 击 区 域 ,选择 “新 建 别名 ”。 在 
图 7-13 中 ,输入 别名 smtp ,并 单 击 “浏览 ?按钮 ,指定 此 别名 要 对 应 的 主机 的 FQDN。 完 
成 后 单 击 “ 确 定 ” 按 钮 即 可 。 

在 DNS 客户 端 利 用 ping smtp. xyz. net 命令 ,测试 是 否 可 以 成 功 解 析 到 smtp. xyz. 
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图 7-13 新 建 别名 记录 


net 对 应 的 IP 地 址 。 
3. 建立 反 向 区 域 与 新 建 反 向 记录 


反 向 区 域 可 以 让 DNS 客户 端 利 用 IP 地 址 来 查找 其 主机 名 称 。 反 向 查找 区 域 并 不 是 
必要 的 ,只 是 在 某 些 场合 下 有 用 。 

反 向 区 域 的 区 域名 称 的 前 半 段 是 其 Network ID 的 反 向 书写 ,后 半 段 必须 为 in-addr. 
arpa。 若 要 针对 Network ID 为 192. 168. 10 的 IP 地 址 来 提供 反 向 查找 功能 , 则 此 反 向 区 
域 的 名 称 必须 是 10. 168. 192. in-addr. arpa。 

1) 建立 反 向 区 域 

要 新 建 一 个 提供 反 向 查询 服务 的 主要 区 域 ,假设 该 反 向 区 域 支 持 的 Network ID 为 
192. 168. 10 ,操作 步骤 如 下 。 

在 DNS 控制 台中 , 右 击 * 反 向 查找 区 域 ”, 选 择 * 新 建 区 域 "。 在 “欢迎 使 用 新 建 区 域 向 
导 ” 对 话 框 中 , 单 击 * 下 一 步 ? 按 钮 ,在 图 7-14 中 ,选择 “主要 区 域 " 单 选 按钮 , 单 击 * 下 一 步 ” 
按钮 。 

在 图 7-15 中 ,在 “网 络 ID 文本 框 中 输入 192. 168. 10, 这 时 会 自动 在 * 反 向 查找 区 域 
名 称 ” 处 显示 区 域名 称 。 也 可 以 在 “ 反 向 查找 区 域名 称 ” 处 输入 区 域名 称 。 完 成 后 单 击 “下 
一 步 ” 按 钮 。 

在 图 7-16 所 示 的 对 话 框 中 ,使 用 默认 的 区 域 文件 名 称 。 如 果 要 使 用 现存 的 区 域 文 
件 , 则 必须 先 将 该 文件 复制 到 %systemroot%\system32\dns 文件 夹 内 ,然后 选择 “使 用 此 
现存 文件 ”。 单 击 “ 下 一 步 ?按钮 。 

在 图 7-17 中 ,选择 “不 允许 动态 更 新 ” 单 选 按钮 , 单 击 “ 下 一 步 ” 按 钮 。 

“完成 新 建 区 域 向 导 ” 对 话 框 中 , 单 击 “完成 ”按钮 即 可 完成 反 向 区 域 的 建立 。 
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图 7-14 指定 区 域 类 型 


新 建 区 域 向 导 


反 庙 查找 区 域名 称 
反 向 查找 区 域 格 IP 地址 转换 为 DIS 名称 。 


图 7-15 指定 反 向 查找 区 域名 称 
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区 域 文件 
您 可 以 外 建 一 个 新 区 域 文件 和 使 用 从 另 一 个 DNS 服务 器 复制 的 文件 。 图 


a 


10. 168. 192. in~addr. arpa dns | 


[ES 


图 7-16 指定 反 向 查找 区 域 文件 名 


图 7-17 指定 动态 更 新 类 型 


2) 在 反 向 区 域内 建立 记录 

在 反 向 区 域内 新 建 记录 的 操作 步骤 如 下 。 

在 DNS 控制 台中 , 右 击 新 建 的 “ 反 向 查找 区 域 " 一 选择 “新 建 指针 (PTR)”。 在 图 7-18 
中 ,输入 “主机 IP 号 ”, 并 单 击 “ 浏 览 ? 按 钮 指定 该 IP 对 应 的 FQDN。 

也 可 以 右 击 正 向 区 域 ,选择 “新 建 主机 ”。 在 正 向 区 域内 建立 主机 记录 的 同时 ,顺便 在 
反 向 区 域内 也 建立 一 项 记录 ,只 要 选择 “创建 相关 的 指针 (PTR) 记 录 ” 即 可 。 选 择 此 选项 
时 ,相对 应 的 反 向 查找 区 域 必须 已 经 存在 ,例如 此 处 建立 的 正 向 查询 记录 ,其 IP 地 址 为 
192.168. 10.11, 则 自动 在 反 向 查找 区 域 10. 168. 192. x Subnet 必须 已 经 存在 , 才 会 成 功 
在 其 中 生成 一 个 反 向 指针 记录 ,如 图 7-19 所 示 。 


hez .168 .10 .1 


yp 


图 7-18 新 建 指针 记录 图 7-19 创建 相关 的 指针 记录 
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7.6 配置 区 域 


在 DNS 服务 器 控制 台中 ,可 以 更 改 与 区 域 有 关 的 设置 。 
1. 常规 设置 


在 DNS 管理 控制 台中 , 右 击 区 域 ~“ 属 性 ”选项 卡 ,在 “属性 ”对 话 框 中 ,更 改 区 域 的 类 
型 与 区 域 文件 名 称 ,以 及 其 他 的 一 些 常规 管理 功能 ,如 图 7-20 所 示 。 


图 7-20 区 域 常规 设置 


2. 起 始 授权 机 构 (SOA) 设 置 


SOA(Start of Authority) 用 来 识别 由 哪 一 个 DNS 服务 器 负责 信息 授权 ,在 区 域 数据 
库 文件 中 ,第 一 笔记 录 必 须 是 SOA 的 设置 数据 。SOA 的 设置 直接 影响 DNS 区 域 的 数据 
更 新 策略 。 通 过 “起 始 授权 机 构 (SOA) ”选项 卡 ,可 以 修改 这 些 设置 ,如 图 7-21 所 示 。 


3. 名 称 服 务 器 的 设置 


在 “名 称 服 务 器 ?选项 卡 中 ,可 以 定义 名 称 服 务 器 ,如 图 7-22 所 示 。 

要 添加 名 称 服务 器 , 单 击 * 添 加 ”按钮 ,在 图 7-23 中 , 单 击 * 浏 览 ?按钮 选择 名 称 服务 器 
的 FQDN 或 者 手工 输入 ,或 者 在 *IP 地 址 ” 栏 中 输入 服务 器 的 IP 地 址 后 , 单 击 * 添 加 ” 按 
钮 , 单 击 “ 确 定 ” 按 钮 即 可 。 

7-24 显示 了 名 称 服务 器 (NS) 记 录 .“ 与 父 文件 夹 相 同 ” 表 示 与 父 域名 称 相 同 , 也 就 
是 xyz. net, 因 此 xyz. net 的 名 称 服务 器 是 server01. www. abc. net. 和 www. xyz. net. 。 
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[33]，server01.，host 
[ls2.168.10.2] 


192.168. 10.2 
192. 168. 10.3 
192. 168. 10.4 
xy net. 
192. 168. 10.1 
192. 168. 10.1 


7-24 ”名 称 服务 器 (NS) 记 录 
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4. 区 域 复制 


通过 设置 主 DNS 服务 器 与 辅助 DNS 服务 器 之 间 的 区 域 复 制 , 主 服务 器 可 以 将 区 域 
内 的 记录 只 传送 到 指定 的 辅助 服务 器 内 ,其 他 未 被 指定 的 辅助 服务 器 所 提出 的 区 域 复制 
请 求 将 被 主 DNS 服务 器 拒绝 。 在 图 7-25 中 , 若 选择 * 只 有 在 “名 称 服 务 器 "选项 卡 中 列 出 
的 服务 器 " 单 选 按 钮 ,表示 只 接受 列 在 “名 称 服务 器 "选项 卡 处 的 辅助 服务 器 提出 的 区 域 复 
制 请 求 。 

当主 服务 器 区 域内 的 记录 有 更 新 时 ,可 以 设置 是 否 自动 通知 辅助 服务 器 ,而 辅助 服务 
器 一 旦 接 到 更 新 通知 ,就 可 以 发 送 区 域 复制 的 请 求 。 单 击 * 区 域 复 制 ?选项 卡 中 的 “通知 ” 
按钮 ,可 以 设置 要 通知 哪些 辅助 服务 器 ,可 以 通知 指定 的 服务 器 或 是 在 “名 称 服务 器 ?选项 
卡 列表 中 列 出 的 服务 器 ,如 图 7-26 所 示 。 


图 7-25 区 域 复制 图 7-26 ”区域 复制 通知 


7.7 DNS 转发 


网 络 上 的 DNS 客户 端 在 向 本 地 的 DNS 服务 器 发 送 查 询 请 求 后 , 若 该 DNS 服务 器 内 
没有 所 需要 的 记录 , 则 DNS 服务 器 会 代替 客户 端 向 网 络 上 其 他 的 DNS 服务 器 发 送 请 求 ， 
并 负责 给 客户 端 返回 结果 。 

可 以 通过 指定 root 服务 器 和 转发 器 两 种 方式 来 查找 网 络 上 的 其 他 DNS 服务 器 。 


1. 指定 root 服务 器 


DNS 客户 端 在 向 DNS 服务 器 发 送 查 询 请 求 后 , 若 DNS 服务 器 内 没有 所 需要 的 记 
录 , 则 DNS 服务 器 会 代 蔡 客 户 端 向 root 内 的 服务 器 来 查找 (除非 指定 了 * 转 发 器 ”) ,可 以 
在 DNS 主 控制 台中 , 右 击 DNS 服务 器 一 “属性 ?一 “根据 示 ”, 如 图 7-27 所 示 , 默 认 情 况 
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DNS 服务 器 


下 ,共有 13 台 root DNS 服务 器 。 


198. 41. 0. 4 
[128. 9.0.107] 
[192.33.4.12] 
[126.8. 10. 90] 
[192. 203. 230 


[lg2.5.5.241] 


图 7-27 配置 根 提示 


这 些 信 息 是 从 %systemroot%\system32\DNS\cache. dns 文件 读 取 来 的 。 可 以 在 
“ 根 提示 ”选项 卡 中 添加 编辑 、 删 除 DNS 服务 器 ,这 些 改动 信息 会 被 存储 到 cache. dns 文 
件 夹 内 。 也 可 以 单 击 * 从 服务 器 复制 ”, 以 便 从 其 他 的 DNS 服务 器 复制 “ 根 提示 ”。 

如 果 公 司 的 网 络 没 有 连接 到 Internet, 那 么 就 没有 必要 利用 root DNS 服务 器 查找 外 
部 主机 的 名 称 信息 ,这 时 可 以 在 公司 DNS 服务 器 的 “ 根 提示 ”选项 卡 下 ,删除 所 有 默认 的 
DNS 服务 器 。 同 时 ,可 以 将 “ 根 提示 ”选项 卡 下 的 DNS 服务 器 改 为 公司 内 部 最 上 层 的 
DNS 服务 器 ,这 样 车 用 户 在 本 部 门 的 DNS 服务 器 中 查询 不 到 某 个 主机 名 时 ,可 以 直接 转 
给 “ 根 提示? 下 配置 的 公司 内 部 的 最 上 层 的 DNS 服务 器 进行 查找 。 


2. 转发 器 的 设置 


本 地 网 络 中 的 DNS 服务 器 会 将 它们 无 法 解析 的 查询 转发 给 网 络 上 其 他 的 DNS 服务 
器 ,或 者 把 客户 端 对 某 些 域名 的 解析 请 求 直 接 转发 给 特定 的 DNS 服务 器 来 解析 ,网 络 上 
其 他 的 DNS 服务 器 或 特定 的 DNS 服务 器 称 为 “转发 器 ”。 使 用 转发 器 可 处 理 区 域外 的 名 
称 解析 请 求 ,并 提高 网 络 中 主机 名 称 的 解析 效率 。 

在 一 个 公司 内 部 可 能 会 有 多 台 DNS 服务 器 ,不 过 从 安全 上 考虑 ,在 公司 的 防火 墙 上 
通常 会 设置 只 允许 取 一 台 DNS 服务 器 可 以 直接 与 Internet 上 的 DNS 服务 器 通信 ,而 网 
络 内 其 他 的 DNS 服务 器 都 必须 通过 这 台 DNS 服务 器 和 外 界 通信 ,从 而 向 Internet 查询 
所 需要 的 信息 ,此 时 可 将 这 台 DNS 服务 器 设置 为 其 他 DNS 服务 器 的 “转发 器 ”。 

当 本 地 的 DNS 服务 器 将 DNS 客户 端的 查询 请 求 转 给 转发 器 后 ,就 等 待 查询 结果 ,并 
将 得 到 的 结果 响应 给 DNS 客户 端 。 如 果 转 发 器 无 法 查询 到 所 需 的 记录 , 则 DNS 服务 器 
可 能 会 : 四 自动 向 “根据 示 ?” 内 的 DNS 服务 器 查找 ; @ 直 接 告诉 DNS 客户 端 找 不 到 要 查 
询 的 信息 。 
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若 要 指定 转发 器 ,操作 步骤 为 : 在 DNS 控制 台中 , 右 击 DNS 服务 器 一 选择 “属性 ”一 
选择 “转发 器 ?选项 卡 , 若 在 此 DNS 服务 器 的 区 域内 找 不 到 客户 端 所 请 求 的 记录 ,就 会 将 
这 个 请 求 转发 到 IP 地 址 为 192. 168. 10. 3 的 DNS 服务 器 进行 解析 ,如 图 7-28 所 示 。 

可 以 设置 条 件 转发 ,条 件 转 发 就 是 根据 查询 的 DNS 域名 使 用 不 同 的 转发 器 。 例 如 ， 
可 以 配置 DNS 服务 器 ,将 接收 到 的 主机 名 后 缀 为 abc. net 的 所 有 查询 转发 到 IP 地 址 为 
192. 168. 10. 4 的 DNS 服务 器 ,而 将 其 他 的 所 有 查询 转发 到 另外 一 个 DNS 服务 器 ,如 
图 7-29 所 示 。 


有 sravzeot 怕 性 


[所 有 下 她 TNS 减 


图 7-28 配置 转发 器 图 7-29 配置 条 件 转发 


7.8 DNS 服务 器 诊断 工具 


1. 使 用 nslookup 命令 


nslookup 是 DNS 服务 器 主要 的 诊断 工具 ,在 安装 TCP/IP 的 过 程 中 安装 上 的 ,使 用 
nslookup 命令 可 以 查看 发 送 给 任意 名 称 服务 器 的 所 有 资源 记录 和 直接 请 求 。 

nslookup 有 两 种 模式 : 交互 模式 和 非 交 互 模式 。 

(1) 如 果 要 求 查询 多 条 数据 记录 , 则 使 用 交互 模式 。 在 命令 提示 符 下 执行 nslookup 
命令 ,不 需要 参数 ,输入 exit 则 退出 交互 模式 ,如 图 7-30 所 示 。 

(2) 如 果 只 要 求 查询 一 条 记录 , 则 使 用 非 交 互 模式 查询 。 在 命令 提示 符 下 执行 
nslookup { 域 名 /IP} 命令 ,就 能 返回 结果 。 例 如 .由 域名 查找 IP 地 址 ,在 命令 提示 符 下 执 


行 nslookup www. xyz. net。 
2. 清除 缓存 


如 果 DNS 服务 器 的 设置 与 运行 一 切 正常 ,但 是 DNS 客户 端 无 法 利用 DNS 服务 器 来 
正确 解析 所 需要 的 IP 地 址 ,可 能 是 由 于 DNS 客户 端 或 是 DNS 服务 器 缓存 内 有 不 正确 的 
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DNS 服务 器 


tings Adninistratornslookup 


| -na or 192.168.18.1: Tined out 
ult 8 


图 7-30 nslookup 命令 


信息 。 

(1) DNS 服务 器 端 
缓存 " 即 可 。 
(2) DNS 客户 


爱 存 的 清除 。 在 DNS 服务 器 


台中 , 右 击 DNS 服务 器 ,选择 


除 


爱 存 的 浊 


ipconfig /flushdns 命令 


在 DNS 客户 端 计算 机 上 ,在 命令 提示 符 下 ,执行 


第 8 章 DHCP 服务 器 


学 习 目 标 
学 习 完 本 章 后 ,了 解 DHCP 的 工作 原理 ,掌握 如 何 安 装 和 设置 DHCP 服务 器 ,学 会 
如 何 配 置 DHCP 客户 端 ,并 掌握 DHCP 服务 在 路 由 网 络 中 如 何 实现 。 


8.1 配置 IP 地 址 方式 


可 以 采用 以 下 两 种 方式 为 网 络 中 的 主机 分 配 IP 地 址 与 相关 配置 。 

(1) 采用 静态 分 配方 案 , 即 按照 网 络 管理 员 的 地 址 规划 进行 手工 设置 。 

(2) 采用 基于 DHCP 的 动态 分 配方 案 ,自动 为 客户 端 分 配 IP 地 址 、 子 网 掩 码 ,默认 网 
关 、DNS 服务 器 地 址 以 及 WINS 服务 器 地 址 等 信息 ,客户 端 不 需要 任何 设置 。 

而 使 用 DHCP 的 动态 分 配方 案 , 也 提供 两 种 分 配 IP 的 方式 。 

中 DHCP 客户 端 首次 从 DHCP 服务 器 成 功 租用 到 IP 地 址 之 后 ,就 永远 使 用 这 个 
地 址 。 

@ DHCP 客户 端 首次 从 DHCP 服务 器 成 功 租 用 到 IP 地 址 之 后 ,并 非 永 久 地 使 用 该 
IP 地 址 , 若 租约 到 期 ,客户 端 就 会 释放 这 个 IP 地 址 ,以 供 其 他 客户 端 使 用 。 也 可 以 更 新 
租约 ,继续 使 用 原来 的 IP 地址 。 


8.2 ”DHCP 工作 原理 


动态 主机 配置 协议 (Dynamic Host Configuration Protocol,DHCP) 可 以 减轻 TCP/ 
IP 网 络 的 规划 ,管理 和 维护 的 负担 ,缓解 IP 地 址 紧张 等 问题 。 

DHCP 服务 使 用 客户 /服务 器 模型 。 当 DHCP 客户 端 计算 机 启动 时 , 它 会 与 DHCP 
服务 器 通信 ,以 便 从 DHCP 服务 器 获取 IP 地 址 、 子 网 掩 码 等 配置 信息 。 它 们 之 间 的 通信 
方式 分 为 两 种 情况 , 即 DHCP 客户 端 是 从 DHCP 服务 器 获取 一 个 新 的 IP 地 址 还 是 更 新 
IP 地 址 的 租约 。 

DHCP 服务 器 在 网 络 中 的 应 用 如 图 8-1 所 示 。 


1. 使 用 DHCP 服务 器 租用 IP 地 址 


在 使 用 DHCP 租用 IP 地 址 的 过 程 中 ,DHCP 服务 器 与 DHCP 客户 端 之 间 需 要 发 送 
4 个 数据 包 来 进行 通信 ,如 图 8-2 所 示 。 

(1) DHCPDISCOVER。 当 DHCP 客户 端 第 一 次 登录 网 络 时 ,向 网 络 发 送 
DHCPDISCOVER 广播 包 。 网 络 中 每 一 台 安装 了 TCP/IP 的 主机 都 会 接收 到 这 种 广播 
信息 ,但 只 有 DHCP 服务 器 才 会 做 出 响应 。 


DHCP 服务 器 


时 or - 骨 -@ 


DHCP 客 户 端 


DHCP ”DHCP 数据库 
服务 器 IP 地 址 池 


DHCP 客 户 端 
DHCP 客 户 端 


图 8-1 DHCP 服务 器 在 网 络 中 的 应 用 


DHCP 客 户 端 


3. DHCPREQUEST 


4. DHCPACK 
图 8-2 ”DHCP 服务 器 与 客户 端 之 间 的 数据 包 


(2) DHCPOFFER。 当 DHCP 服务 器 监听 到 客户 端 发 出 的 DHCPDISCOVER 广播 
包 后 ,会 从 还 没有 租 出 的 IP 地 址 范围 内 ,选择 最 前 面 的 空置 IP, 连 同 其 他 TCP/IP 设置， 
回应 给 客户 端 DHCPOFFER 广播 包 。 根 据 服务 器 端的 设 定 , DHCPOFFER 包 还 会 包含 
租约 期 限 信息 。 

(3) DHCPREQUEST。 如 果 DHCP 客户 端 接收 到 了 多 台 DHCP 服务 器 的 回应 ,只 
会 挑选 其 中 一 台 DHCP 服务 器 提供 的 DHCPOFFER( 通 常 是 最 先 抵达 的 那个 ) ,并 且 会 
向 网 络 发 送 一 个 DHCPREQUEST 广播 包 , 通 知 所 有 其 他 DHCP 服务 器 它 将 接受 这 台 
DHCP 服务 器 提供 的 IP 地 址 ,以 便 其 他 DHCP 服务 器 收回 曾经 提供 给 客户 端的 IP 地 
址 。 同 时 ,客户 端 还 会 向 网 络 发 送 一 个 ARP 包 ,查询 网 络 上 有 没有 其 他 计算 机 使 用 该 IP 
地 址 ,如 果 发 现 该 IP 地 址 已 被 占用 ,客户 端 则 会 送出 一 个 DHCPDECLINE 封装 包 给 
DHCP 服务 器 ,拒绝 接受 其 DHCPOFFER, 并 重新 发 送 DHCPDISCOVER 包 , 以 便 获取 
一 个 新 的 IP 地 址 。 

(4) DHCPACK。 当 DHCP 服务 器 接收 到 DHCP 客户 端的 DHCPREQUEST 包 后 ， 
它 便 使 用 广播 向 DHCP 客户 端 发 送 DHCPACK 包 , 包 含 它 所 提供 的 IP 地 址 和 其 他 设 
置 ,通告 DHCP 客户 端 可 以 使 用 它 所 提供 的 IP 地 址 。 当 DHCP 客户 端 收 到 确认 信息 后 ， 
TCP/IP 的 初始 化 过 程 就 完成 了 ,然后 DHCP 客户 端 就 可 将 其 TCP/IP 的 设置 与 网 卡 绑 
定 ,一 旦 绑 定 , 就 可 开始 利用 TCP/IP 进行 网 络 通信 。 
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2. IP 地 址 的 更 新 与 释放 


当 IP 租约 期 过 一 半 时 ,所 有 的 DHCP 客户 端 自动 试图 更 新 它们 的 IP 地 址 租约 期 。 
要 更 新 IP 地 址 租约 期 ,DHCP 客户 端 直接 发 1. DHCPREQUEST 


送 DHCPREQUEST 消息 给 DHCP 服务 器 。 © 

如 果 此 地 址 还 是 有 效 地 址 , 则 DHCP 服务 器 < EE 
给 DHCP 客户 端 回应 一 个 DHCPACK 消  DHcp 2 

息 ,其 中 包含 新 的 租约 期 和 其 他 最 新 配置 参 。 窑 丰 出 Be 


数 ,如 图 8-3 所 示 。 

当 IP 租约 期 过 一 半 时 ,如 果 DHCP 客户 
端 未 能 从 原 DHCP 服务 器 更 新 它 的 IP 地 址 租约 期 , 则 当 租 期 过 87. 5% 时 , 它 会 以 广播 的 
方式 向 所 有 的 DHCP 服务 器 发 送 DHCPREQUEST 消息 。 任 一 个 DHCP 服务 器 可 以 回 
应 DHCPACK 消息 (更 新 租 期 ) 或 DHCPNACK 消息 (强制 DCHP 客户 端 重新 初始 化 并 
租用 新 的 IP 地址 )。 

如 果 租 期 已 满 ,DHCP 客户 端 没有 更 新 租约 成 功 ,必须 立即 停止 使 用 该 IP 地 址 ,并 重 
新 进入 初始 化 状态 ,重新 开始 DHCP 租用 过 程 以 租用 另 一 个 IP 地 址 。 


3. 自动 分 配 私有 IP 地 址 


若 DHCP 客户 端 计算 机 由 于 种 种 原因 ,无 法 从 DHCP 服务 器 租用 到 IP 地 址 时 , 例 
如 ,网 络 中 没有 DHCP 服务 器 ,或 是 DHCP 服务 器 地 址 池内 的 地 址 耗 尽 ,此 时 这 些 客户 
端 计算 机 将 会 被 自动 分 配 一 个 Network ID 为 169. 254. 0.0 的 保留 IP 地 址 。 分 配 到 此 类 
IP 地 址 的 计算 机 可 以 临时 通信 。 

客户 端 计算 机 使 用 私有 IP 地 址 期 间 ,仍然 会 每 隔 5min 来 尝试 寻找 可 用 的 DHCP 服 
务 器 ,一 旦 成 功 从 DHCP 服务 器 获取 到 一 个 有 效 的 IP 地 址 ,客户 端 就 会 放弃 使 用 的 私有 
IP 地 址 。 

在 命令 提示 符 下 ,执行 ipconfig 命令 ,可 以 查看 获取 到 的 私有 IP 地 址 ,如 图 8-4 
所 示 。 


图 8-3 ”IP 地 址 的 更 新 与 释放 


:Vipconf ig 


indows IP Configuration 


thernet adapter 本 地 连接 : 


Connection-specific DNS Suffix - : 
Autoconf iguration IP fddress. . . : 169.254.226.235 
: 255.255.0.@ 


> 


图 8-4 自动 私有 IP 地址 


DHCP 服务 器 


8.3 安装 DHCP 服务 器 


在 Windows Server 2003 上 安装 DHCP 服务 器 之 前 , 需 满 足以 下 要 求 。 

(1) 该 服务 器 本 身 已 配置 固定 的 IP 地 址 、 子 网 掩 码 和 默认 网 关 。 

(2) 具有 可 用 的 地 址 池 , 即 可 出 租 给 客户 端 计算 机 使 用 的 IP 地 址 范 

要 开始 安装 DHCP 服务 器 组 件 ,操作 步骤 如 下 。 

(1) 单 击 * 开 始 ” 一 “控制 面板 ”一 “添加 或 删除 程序 ”一 “添加 或 删除 Windows 组 
件 ” 一 选中 “网 络 服务 ”一 单 击 “ 详 细 信 息 ”。 

(2) 在 图 8-5 中 ,选择 “动态 主机 配置 协议 (DHCP)”, 单 击 “ 确 定 ” 按 钮 。 


口 转 Internet 验证 服务 
回 蝎 Yinaows Internet 各 称 服务 (FINS) 


回 更 域名 系统 DNS) 16m 司 
描述 : 壁 DHCP 服务 器 为 同一 个 网 络 上 的 客户 端 计算 机 自动 分 负 必 时 的 IF 


所 需 磁 盘 空 间 ; 3.2 上 说 六 息 全 
Ce |] ww | 


图 8-5 ”添加 动态 主机 配置 协议 (DHCP) 组 件 


(3) 返回 前 一 个 对 话 框 时 , 单 击 “ 下 一 步 ? 按 钮 。 安 装 过 程 中 ,可 能 需要 插入 Windows 
Server 2003 安装 盘 。 


8.4 新建, 管理 作用 域 
8.4.1 作用 域 概述 


安装 好 DHCP 服务 器 以 后 ,还 不 能 立即 对 客户 端 计算 机 提供 IP 地 址 出 租 服 务 , 只 有 
新 建 了 作用 域 后 , 才 可 以 提供 分 配 IP 地 址 的 服务 。 

作用 域 主要 保存 了 指派 给 DHCP 客户 端的 卫 地 址 范围 , 即 IP 地 址 池 。 作 用 域 主要 
包含 下 列 信息 。 

(1) IP 地 址 的 范围 ,可 在 其 中 加 入 或 排除 可 用 于 租用 的 IP 地 址 。 

(2) 子 网 掩 码 , 用 于 确定 IP 地 址 所 在 的 子 网 。 

(3) 作用 域 的 名 称 , 在 创建 作用 域 时 要 指派 作用 域 的 名 称 。 

(4) 租约 期 限 值 ,指派 给 DHCP 客户 端 使 用 IP 地 址 的 时 间 。 
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(5) DHCP 作用 域 选项 ,例如 DNS 服务 器 .路 由 器 和 WINS 服务 器 的 地 址 等 。 
(6) 保留 ,用 于 确保 某 个 DHCP 客户 端 总 是 能 获取 到 同一 个 IP 地 址 信息 。 


8.4.2 使 用 新 建 作用 域 向 导 


要 新 建 作用 域 ,操作 步 又 为 如 下 。 

(1) 在 DHCP 主 控 制 台 中 , 右 击 DHCP 服务 器 ,选择 “新 建 作用 域 " 选 项 。 

(2) 在 “欢迎 使 用 新 建 作用 域 向 导 ” 对 话 框 中 , 单 击 * 下 一 步 ” 按 钮 。 在 图 8-6 中 ,输入 
作用 域 的 名 称 和 描述 , 单 击 “ 下 一 步 ”按钮 。 


作用 域名 
悠 必 须 提供 一 个 用 于 识别 的 作用 域名 称 。 您 还 可 以 提供 一 个 描述 可 选 )。 


图 8-6 指定 作用 域名 称 和 描述 


(3) 在 图 8-7 中 ,输入 可 分 配 的 起 始 IP 地 址 与 结束 IP 地 址 ,并 在 “ 子 网 拖 码 ”处 指定 
这 些 IP 地 址 的 子 网 掩 码 ,或 配置 子 网 掩 码 的 长 度 , 单 击 “ 下 一 步 "按钮 。 


新 建 作用 域 向 导 


192.168. 10 . 10 
192.168. 10 .150 


| 


图 8-7 指定 IP 地址 范围 
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(4) 在 图 8-8 中 ,可 以 排除 作用 域内 的 一 些 卫 地 址 ,设置 好 后 单 击 “ 下 一 步 "按钮 。 


新 建 作用 域 向 导 


8-8 添加 排除 


(5) 在 图 8-9 中 ,设置 租约 期 限 , 默 认为 8 天 ,设置 好 后 单 击 “ 下 一 步 ” 按 钮 。 


租约 期 限 
租约 期 限 指定 了 一 个 客户 端 从 此 作用 域 使 用 IP 地 址 的 时 间 长 短 。 


图 8-9 设置 租约 期 限 


(6) 在 图 8-10 中 ,选中 “是 ,我 想 现在 配置 这 些 选项 ” 单 选 按 钮 后 ,可 以 配置 最 常用 的 
DHCP 选项 ,例如 网 关 、DNS 服务 器 和 WINS 服务 器 等 。 在 此 暂 不 配置 DHCP 配置 选 
项 ,因此 选中 * 和 否 ,我 想 稍 后 配置 这 些 选 项 ” 单 选 按钮 , 单 击 * 下 一 步 "按钮 。 

(7) 出 现 “ 完 成 建立 作用 域 向 导 ” 对 话 框 时 , 单 击 “完成 ”按钮 。 

新 建 作用 域 后 ,需要 激活 ,否则 是 不 能 接受 DHCP 客户 端的 请 求 的 。 要 激活 作用 域 ， 
操作 步骤 为 : 右 击 该 作用 域 ,在 弹出 的 快捷 菜单 中 选择 “激活 ”选项 即 可 ,如 图 8-11 所 示 。 
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新 建 作用 域 向 导 


配置 DHCP 选项 
你 必须 配置 最 常用 的 DHCP 选项 之 后 ,客户 端 才 可 以 使 用 作用 域 。 


图 8-11 激活 DHCP 作用 域 


8.4.3 配置 作用 域 选 项 


Windows Server 2003 的 DHCP 服务 器 提供 相当 多 的 配置 选项 。 如 果 DHCP 客户 
端 是 Microsoft 操作 系统 ,只 有 部 分 的 配置 选项 适用 于 这 些 操 作 系统 ,例如 路 由 器 .DNS 
服务 器 .DNS 区 域名 称 、WINS 服务 器 .WINS 节点 类 型 等 选项 。 在 DHCP 服务 器 中 可 以 
配置 不 同 级 别 的 DHCP 选项 ,这 些 选项 的 优先 级 不 同 ,作用 范围 也 不 同 ,具体 来 说 如 下 。 

(1) 服务 器 选项 。 针 对 该 服务 器 内 所 有 的 作用 域 所 配置 的 选项 。 

(2) 作用 域 选 项 。 针 对 某 个 作用 域 所 配置 的 选项 。 

(3) 保留 。 针 对 某 个 保留 IP 地 址 所 配置 的 选项 。 如 果 没 有 配置 保留 的 配置 选项 , 保 
留 IP 将 会 继承 所 在 作用 域 选项 的 配置 。 

(4) 类 别 选 项 。 在 服务 器 、 作 用 域 .保留 内 .针对 某 些 特定 类 别 的 计算 机 配置 的 选项 。 

当 服 务 器 选项 、 作 用 域 选项 、 保 留 选 项 与 类 别 选 项 内 的 配置 有 冲突 时 ,其 优先 级 为 : 
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DHCP 服务 器 


服务 器 选项 (最 低 ) 一 作用 域 选项 一 保留 选项 一 类 别 选项 (最 高 )。 

以 配置 “作用 域 选项 "中 的 路 由 器 为 例 , 配 置 选项 的 操作 步骤 如 下 。 

(1) 在 DHCP 控制 台中 ,打开 作用 域 , 右 击 “作用 域 选 项 ”, 选 择 * 配 置 选项 ,如 图 8-12 
所 示 。 


nce 

BB servero! [192.168.10.1] 
日 个 作用 域 [192. 168.10.0] :| 
二 地 址 池 


图 8-12 配置 作用 域 选项 


(2) 在 图 8-13 中 ,在 “可 用 选项 ”下 选择 “003 路 由 器 ”, 然 后 在 "IP 地 址 ?处 输入 路 由 
器 的 IP 地 址 , 单 击 “ 添 加 ”按钮 ,再 单 击 “ 确 定 ” 按 钮 。 


作用 域 选项 


图 8-13 指定 路 由 器 选项 


配置 完成 后 ,如 图 8-14 所 示 。 

在 DHCP 客户 端的 命令 提示 符 下 ,执行 ipconfig /renew 命令 ,更 新 IP 地 址 租约 , 然 
后 执行 ipconfig /all 命令 来 查看 ,会 发 现 DHCP 客户 端的 路 由 器 已 被 指定 为 192. 168. 
10. 254, 如 图 8-15 所 示 。 
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8.4.4 


文件 EF) 操作 () 查看 QW) 帮助 0) 


中 ?| 外 | 国 |XX 略 回民 | 久 | 多 


ey 


EB servero! [192.168.10.1] 
日 稳 作用 域 [192. 168.10.5 
图 地址 池 
全 地 址 租约 
日 例 保 贸 
人 [192. 188. 10.3( 
a nilsz 168.10.2 


团 地 址 池 
区 地 址 租约 


国王 一直 


供应 商 下 
标准 型 192. 168， 


图 8-14 


AMD PCNET Fanily 


: 08-8( 


图 8-15 查看 


IP 地 址 保留 


保留 地 址 主要 用 于 为 某 一 客户 端 保留 


道 客户 


要 新 建 


端 网 卡 的 MAC 地 址 


-个 保留 地 址 ,操作 步骤 如 下 。 


路 由 器 选项 


PCI Ethernet hdapter 


9-7E-1E-7 


DHCP 客户 端 信息 


-个 特定 的 IP 地 址 。 在 设置 保留 地 址 时 ,要 知 


(1) 在 DHCP 控制 台中 ,展开 需要 设置 保留 卫 地 址 的 作用 域 , 右 击 “ 保 留 ”, 在 弹出 的 
快捷 菜单 中 选择 “新 建 保留 "选项 ,如 图 8-16 所 示 。 
(2) 在 图 8-17 中 ,输入 相关 的 信息 后 , 单 击 “ 添 加 ”按钮 ,然后 单 击 “ 关 闭 ” 按 钮 即 可 。 


可 以 重复 以 上 步骤 ,在 DHCP 服务 器 上 保留 若干 个 IP 地 址 给 某 些 服务 器 或 客户 


使 用 。 


亲 


端 


serverQ1 [192. 168.10.1] 
佬 作用 域 [192. 168.10.0] 3 
- 池 


日 


“i 
多 播 人 


图 8-17 指定 保留 信息 


8.5 配置 跨 子 网 DHCP 


一 个 较 大 的 网 络 通常 会 被 划分 成 多 个 不 同 的 子 网 ,如 果 DHCP 服务 器 和 DHCP 客 
户 端 在 不 同 的 子 网 内 ,因为 DHCP 信息 是 以 广播 包 的 方式 传送 的 ,而 默认 情况 下 IP 路 由 
器 并 不 会 转发 广播 信息 ,因此 限制 了 DHCP 服务 器 的 使 用 范围 。 有 3 种 解决 此 问题 的 
六 法。 

(1) 在 每 一 个 网 络 中 都 至 少 安装 一 台 DHCP 服务 器 ,使 客户 端 计算 机 从 本 网 段 内 的 
DHCP 服务 器 就 可 以 获取 IP 地 址 信息 。 

(2) 选择 符合 RFC 1542 的 TCP/IP 标准 规格 的 IP 路 由 器 ,以 便 将 DHCP 信息 转发 
到 其 他 的 网 段 。 

(3) 在 网 络 内 启用 DHCP 中 继 代理 服务 ,为 局 域 网 中 的 客户 端 计算 机 提供 DHCP 消 
息 中 转 服务 。 
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8.5.1 跨 子 网 使 用 DHCP 的 方式 


1. 利用 符合 RFC 1542 规范 的 IP 路 由 器 连接 网 络 


利用 符合 RFC 1542 规范 的 IP 路 由 器 来 转发 不 同 网 段 的 DHCP 广播 信息 ,实现 
DHCP 客户 端 从 DHCP 服务 器 获取 IP 地 址 信息 ,如 图 8-18 所 示 。 


RD 企业 局 域 网 -一 企业 局 域 网 加 9 


DHCP 


符合 RFC1542 
DHCP 客 户 端 A 规范 的 路 由 器 局 服务 器 


DHCP 客 户 端 B 
图 8-18 利用 符合 RFC 1542 规范 的 IP 路 由 器 连接 网 络 


获取 IP 地 址 的 过 程 如 下 : 

(1) DHCP 客户 端 A 发 送 广播 信息 DHCPDISCOVER 来 寻找 DHCP 服务 器 。 

(2) 路 由 器 收 到 此 信息 后 ,将 此 广播 信息 DHCPDISCOVER 转发 到 另 一 个 网 段 内 。 

(3) 另 一 个 网 段 内 的 DHCP 服务 器 收 到 此 信息 后 ,回应 DHCPOFFER 信息 给 路 
由 器 。 

(4) 路 由 器 将 这 个 DHCPOFFER 信息 广播 给 DHCP 客户 端 A。 

(5) DHCP 客户 端 发 送 DHCPREQUEST 信息 ,并 经 路 由 器 转发 给 DHCP 服务 器 。 

(6) DHCP 服务 器 发 送 DHCPACK 信息 ,并 经 路 由 器 来 转发 给 DHCP 客户 端 。 

(7) DHCP 客户 端 完成 从 位 于 不 同 网 段 的 DHCP 服务 器 获取 IP 地 址 。 


2. 用 不 符合 RFC 1542 规格 的 IP 路 由 器 连接 网 络 


如 果 网 络 内 的 IP 路 由 器 并 不 符合 RFC 1542 的 规格 ,这 时 可 以 在 Windows Server 
2003 服务 器 上 启用 DHCP 中 继 代理 ,实现 DHCP 客户 端 从 DHCP 服务 器 获取 IP 地 址 信 
息 , 因 为 DHCP 中 继 代理 也 具备 将 DHCP 信息 转发 到 其 他 网 段 的 功能 ,如 图 8-19 所 示 。 

获取 IP 地 址 的 过 程 如 下 。 

(1) DHCP 客户 端 A 利用 广播 信息 DHCPDISCOVER 寻找 DHCP 服务 器 。DHCP 
中 继 代理 收 到 此 信息 后 ,将 其 直接 转发 到 另 一 个 网 段 的 DHCP 服务 器 。 

(2) DHCP 服务 器 响应 信息 DHCPOFFER 给 DHCP 中 继 代理 。DHCP 中 继 代理 将 
此 信息 DHCPOFFER 广播 给 DHCP 客户 端 A。 

(3) DHCP 客户 端 送 出 DHCPREQUEST 信息 ,DHCP 中 继 代理 收 到 此 信息 后 ,将 
其 直接 转发 到 另 一 个 网 段 的 DHCP 服务器。 

(4) DHCP 服务 器 送出 DHCPACK 信息 ,DHCP 中 继 代理 将 此 信息 DHCPOFFER 
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DHCP 服务 器 


转发 DHC 
POFFER D 
ECPACK 数 据 
包 


DHCP 
S Dm 王 
. 企业 局 域 网 
< 、 企业 局 瑾 网 。 “不 符合 RFC1542 
DHCP 客 户 端 A 规范 的 路 由 器 < 


DHCP 客 户 端 B 
图 8-19 利用 不 符合 RFC 1542 规格 的 IP 路 由 器 连接 网 络 


广播 给 DHCP 客户 端 A。 
(5) DHCP 客户 端 A 收 到 DHCPACK 信息 后 ,就 完成 了 获取 IP 地 址 的 过 程 。 


8.5.2 ”配置 DHCP 中 继 代 理 


以 图 8-20 所 示 的 甲乙 两 个 网 络 来 举例 ,要 配置 乙 网 络 中 的 Windows Server 2003 作 
为 DHCP 中 继 代理 ,以 便当 它 收 到 DHCP 客户 端 B 的 DHCP 信息 时 ,可 以 将 它 转发 到 甲 
网 络 的 DHCP 服务 器 ,从 而 实现 乙 网 络 中 的 DHCP 客户 端 也 能 从 甲 网 络 中 的 DHCP 服 
务 器 中 获得 IP 地 址 。 


192.168.10.254 192.168.20.254 用 央 
甲 网 络 。 名 乙 网 络 ， 


DHCP 服 务 器 不 符合 RFC 1542 Windows Server 2003 
192.168.10.1 规范 的 路 由 器 DHCP 中 继 代理 
D 中 192.168.20.1 


DHCP 客 户 端 A DHCP 客 户 端 B 
192.168.10.10 192.168.20.10 


图 8-20 DHCP 中 继 代理 


要 配置 DHCP 中 继 代理 服务 ,操作 步骤 如 下 。 

(1) 打开 “路 由 和 远程 访问 ”控制 台 , 右 击 服务 器 ,选择 “配置 并 启动 路 由 和 远程 
访问 ”。 

(2) 在 “欢迎 使 用 路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 中 , 单 击 “ 下 一 步 ” 按 钮 。 
在 图 8-21 中 ,选择 “ 自 定义 配置 ” 单 选 按 钮 , 单 击 “ 下 一 步 ”按钮 。 

(3) 在 图 8-22 中 ,选择 “LAN 路 由 " 复 选 框 , 单 击 “ 下 一 步 ” 按 钮 。 

(4) 出 现 “ 完 成 路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 时 , 单 击 “ 完 成 ”按钮 。 在 
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Windows 


图 8-23 中 , 单 击 * 是 ?按钮 , 即 可 完成 路 由 和 远程 访问 的 安装 并 初始 化 。 
路 由 和 运程 访问 服务 器 安装 育 导 


配置 pe 
您 可 以 启用 下 列 服 务 的 任意 组 合 ,或 者 您 可 以 自 定义 此 服务 器 。 SL 


图 8-22 自 定 义 设置 


路 由 和 远程 访问 


\ 


8-23 ”完成 路 由 和 远程 访问 的 安装 并 初始 化 
要 安装 DHCP 中 继 代理 程序 ,并 启用 DHCP 中 继 代理 服务 ,操作 步骤 如 下 。 
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DHCP 服务 器 


(1) 在 “路 由 和 远程 访问 ”控制 台中 ,选择 “IP 路 由 选择 ”, 右 击 “ 常 规 ”, 选 择 “ 新 增 路 由 
协议 ”。 
(2) 在 图 8-24 中 ,选择 *DHCP 中 继 代理 程序 ”, 单 击 “ 确 定 ” 按 钮 。 


EE 


本 IGHP 路 由 器 以 及 代理 骤 务 器 
| AT/ 基本 防火 墙 


| 入 开放 式 最 短路 径 忧 先 (0SPF) 
| 本 用 于 Internet 协议 的 RIP 版 本 2 


图 8-24 指定 新 路 由 协议 
(3) 安装 完 DHCP 中 继 代理 程序 后 ,如 图 8-25 所 示 。 


路 由 和 运程 访问 


消 | 加 | 四 | 居 加 人 区 |@ 


此 视图 中 没有 可 显示 的 项 目 。 


图 8-25 DHCP 中 继 代 理 程序 


(4) 安装 完 DHCP 中 继 代理 程序 后 ,还 不 能 立即 提供 DHCP 中 继 代理 服务 ,还 要 配 
置 将 信息 转发 到 一 台 DHCP 服务 器 ,并 配置 转发 DHCP 信息 的 网 络 接口 。 操 作 步 又 
为 : 右 击 *“DHCP 中 继 代 理 程序 ”, 在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 ,如 图 8-26 
所 示 。 

(5) 在 图 8-27 中 ,输入 甲 网 络 中 DHCP 服务 器 的 IP 地 址 192. 168. 10. 1, 然 后 单 击 
“添加 ”按钮 和 “确定 ”按钮 。 

(6) 配置 转发 DHCP 信息 的 网 络 接口 ,操作 步骤 为 : 右 击 *DHCP 中 继 代理 程序 ”, 在 
弹出 的 快捷 菜单 中 选择 “新 增 接口 ”选项 ,如 图 8-28 所 示 。 


1 


《Windows 网 


路 由 和 运程 访问 


此 视图 中 没有 可 显示 的 项 目 。 


[ | 
图 


CE ] WW | sw| 
图 8-27 配置 DHCP 中 继 代理 程序 属性 
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路 由 和 运程 访问 


图 8-28 ”新 增 接口 


(7) 选择 提供 DHCP 中 继 代理 程序 服务 的 网 络 接口 。 

当 乙 网 络 中 DHCP 中 继 代理 程序 收 到 通过 此 接口 传送 来 的 DHCP 信息 包 时 ,就 会 
将 信息 包 转 发 给 甲 网 络 中 的 DHCP 服务 器 。 未 被 选择 的 接口 传送 过 来 的 DHCP 信息 
包 , 并 不 会 被 转发 。 

如 果 该 服务 器 内 有 多 个 网 卡 , 则 会 有 “本 地 连接 2”“ 本 地 连接 3” 等 可 供 选 择 。 图 8-29 
中 选择 的 “本 地 连接 1” 是 乙 网 络 中 的 中 继 代理 服务 器 的 IP 地 址 为 192. 168. 20. 1 的 网 络 
接口 。 然 后 单 击 “ 确 定 ” 按 钮 。 

(8) 在 图 8-30 中 ,可 设置 的 选项 有 两 个 。 


点 尾 性 一 本 地 连接 尾 性 


代理 入 序 的 亲近 


图 8-29 指定 DHCP 中 继 代理 程序 的 接口 图 8-30 DHCP 中 继 站 属性 


1 一 
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中 跃 点 计数 阔 值 。 表 示 DHCP 信息 最 多 只 能 够 经 过 多 少 跳 来 转发 。 

@ 启动 阅 值 。 在 DHCP 中 继 代 理 程序 收 到 DHCP 信息 后 ,要 等 此 处 所 配置 的 时 间 
过 后 , 才 会 将 信息 转发 给 远程 的 DHCP 服务 器 。 

一 般 采 用 默认 设置 , 单 击 “ 确 定 ” 按 钮 , 即 可 完成 DHCP 中 继 代理 的 网 络 转发 接口 
配置 。 
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第 9 章 Web 服务 器 


学 习 目 标 
学 习 完 本 章 后 ,了 解 IIS 的 最 新 特征 ,掌握 如 何 安装 与 测试 IIS, 学 会 如 何 通过 IIS 发 
布 Web 网 站 ,掌握 虚拟 目录 的 应 用 ,并 掌握 网 站 的 安全 性 设置 。 


9.1 Internet Information Server 概述 


Internet Information Server 6. 0 已 成 为 Windows Server 2003 默认 的 组 成 部 分 ,IIS 
6.0 和 以 往 的 版 本 相 比 ,被 重新 设计 ,并 取消 了 传统 的 配置 文件 格式 Meta Database, 采 用 
了 全 新 的 XML 文件 存储 格式 ;与 Windows Server 2003 中 其 他 应 用 程序 服务 结合 得 更 加 
紧密 合理 ;在 可 靠 性 、 可 扩展 性 、 安 全 性 、 应 用 支持 和 可 管理 性 方面 都 有 了 很 大 提高 ;还 支 
持 其 他 一 些 功 能 强大 的 组 件 , 包 括 活动 的 服务 器 页 面 (Active Server Page,ASP) .互联 网 
服务 器 应 用 程序 接口 (Internet Server Application Programming Interface,ISAPI) .互联 
网 数据 连接 器 (Internet Data Connector,IDC) 等 ;在 安全 方面 有 很 大 改善 ,例如 ,默认 仅 
安装 显示 静态 HTML 页 面 所 需 的 组 件 ,而 不 允许 动态 内 容 。 


9.1.1 客户 端 访问 Web 服务 器 的 流程 


当 Web 服务 器 接收 到 客户 端 计算 机 的 HTTP 请 求 后 ,就 会 返回 一 个 HTTP 响应 。 
Web 服务 器 可 以 响应 一 个 静态 页 面 或 图 片 或 者 页 面 重 定向 ,或 者 通过 一 些 其 他 的 程序 ， 
例如 CGI 脚本 JSP 脚本 、ASP 脚本 、 服 务 器 端 JavaScript 等 。 但 最 终 Web 服务 器 会 返回 
HTML 代码 给 浏览 器 ,再 由 浏览 器 负责 将 其 显示 给 用 户 。 

客户 端 访问 Web 服务 器 的 流程 ,大 致 可 分 为 三 步 。 

(1) 客户 端的 Web 浏览 器 向 一 个 特定 的 Web 服务 器 发 出 Web 页 面 请 求 。 

(2) Web 服务 器 接收 到 客户 端的 Web 页 面 请 求 后 ,查找 所 请 求 的 Web 页 面 。 

(3) Web 服务 器 将 查找 到 Web 页 面 传送 给 Web 浏览 器 ,并 将 它 显 示 出 来 ,如 图 9-1 
所 示 。 


中 向 服务 器 发 出 给 Web 请 求 
虹 | 由 回 寻 找 
页 面 
4 Internet 
客户 端 浏 览 器 Windows Server 2003 
一 Web 服 务 器 


图 将 文档 传送 给 Web 浏 览 器 
图 9-1 客户 端 访问 Web 服务 器 的 流程 
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9.1.2 安装 IIS 组 件 


安装 IIS 的 计算 机 的 IP 地 址 最 好 是 固定 的 , 即 手工 输入 IP 地 址 、 子 网 掩 码 、 默 认 网 
关 等 信息 。 若 要 让 用 户 通过 域名 来 访问 此 网 站 ,还 要 在 DNS 服务 器 上 为 此 服务 器 分 配 一 
个 DNS 主机 名 ,并 建立 主机 名 与 IP 地 址 之 间 的 映射 关系 。 

在 Windows Server 2003 上 ,安装 IIS 的 操作 步骤 如 下 。 

(1) 单 击 *“ 开 始 ” 控 制 面板 ?添加 或 删除 程序 ”~* 添 加 /删除 Windows 组 件 ”， 
选择 “应 用 程序 服务 器 ”, 单 击 “ 详 细 信 息 ”。 

(2) 在 图 9-2 中 ,选中 “Internet 信息 服务 (IIS)” 复 选 框 ,默认 同时 会 选中 “启用 网 络 
COM 十 访问 ”, 如 果 要 发 布 . NET 网 站 ,还 需 选 中 ASP. NET。 完 成 后 , 单 击 “ 确 定 ” 按 钮 。 


Bs | 
| 取消 


图 9-2 选中 安装 IIS 及 相关 的 组 件 


在 IIS 安装 过 程 中 ,可 能 需要 插入 Windows Server 2003 安装 盘 。 
完成 安装 后 ,打开 “Internet 信息 服务 (IIS) 管 理 器 ”, 即 可 对 IIS 进行 管理 。 


9.1.3 检查 默认 安装 


假设 已 安装 的 Web 服务 器 的 IP 地 址 为 192. 168. 10. 1 ,计算 机 名 称 为 server01 ,主机 
头 (FQDN) 已 设置 为 www. xyz. net。 

要 管理 网 站 ,打开 “Internet 信息 服务 (IIS) 管 理 器 ”, 如 图 9-3 所 示 。 

要 连接 与 测试 网 站 ,打开 另外 一 台 Windows 客户 端 计算 机 的 下 浏览 器 ,并 在 地 址 栏 
中 输入 以 下 地 址 。 

(1) 利用 主机 头 , 输 入 http://www. xyz. net。 

(2) 利用 IP 地 址 ,输入 http://192. 168. 10. 1/。 

(3) 利用 计算 机 名 称 , 输 入 http://server01/。 

若 连接 成 功 , 则 会 出 现 如 图 9-4 所 示 的 界面 。 
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信息 服务 (IIS) 管 理 回 


由 六 espne 
由 六 Yeb 服务 扩展 


建设 中 


您 想 要 查看 的 站 点 当前 没有 了 默认 页 。 可 能 正在 对 它 进行 升级 和 配置 换 作 。 


请 秽 后 再 访问 此 站 点 。 如 果 您 仍然 过 到 问题 ， 请 与 同 站 的 管理 员 联 系 。 


加 果 您 是 网 站 的 管理 员 ， 并 且 认为 您 是 由 于 鲁 误 才 收 到 此 消息 ， 请 参阅 ITS 
帮助 中 的 “启用 和 和 禁用 动态 内 容 "… 
要 访问 IIS 帮助 

1。 单 击 开始 ， 然 后 单 击 运行 . 

2 在 打开 文本 框 中 ,键入 inetegr。 将 出 现 IIS 答 理 器 . 


3 从 帮助 荣 单 ， 单 击 帮助 主题 
4 单 击 Internet 信息 服务 。 


图 9-4 连接 测试 成 功 界面 


9.2 配置 Web 站 点 属性 


要 配置 Web 网 站 (例如 IIS 内 置 的 “默认 网 站 ”) 的 属性 ,操作 步骤 为 : 右 击 “默认 网 
站 ?一 选择 "属性 ”一 选择 “网 站 ?选项 卡 , 可 以 设置 Web 站 点 的 描述 、IP 地 址 和 TCP 端口 
号 ,还 可 以 设置 连接 超时 的 时 间 、 日 志文 件 格式 和 日 志 属性 等 ,如 图 9-5 所 示 。 


1. 主 目录 设置 


选择 “ 主 目录 ”选项 卡 ,可 以 设置 Web 站 点 的 主 目录 ,目录 存 取 权限 .应 用 程序 保护 
等 ,如 图 9-6 所 示 。 

(1) 此 计算 机 上 的 目录 。 默 认 在 %systemdrive%\inetpub\wwwroot 文件 夹 内 ,可 以 
修改 这 个 主 目录 的 本 地 路 径 。 

(2) 另 一 台 计 算 机 上 的 共享 。 将 主 目录 指定 到 另外 一 台 计 算 机 的 共享 文件 夹 , 该 共 
享 文件 夹 中 必须 有 网 页 。 在 “网 络 目录 ”中 输入 “\\ 服 务 器 名 称 \ 共 享 文件 夹 名 \” 格 式 的 
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图 9-6 主 目录 设置 


UNC 路 径 , 此 时 要 求 该 服务 器 有 访问 此 共享 资源 的 权限 。 
(3) 重 定向 到 URL。 可 以 将 网 站 www. xyz. net 定向 到 www. abc. net, 当 用 户 访问 
www. xyz. net 时 ,将 显示 www. abc. net 网 站 的 内 容 。 


2. 文档 设置 


在 客户 端 访问 某 网 站 时 ,只 需 在 浏览 器 的 地 址 栏 中 输入 站 点 的 主机 名 ,并 不 需要 输入 
主页 的 文件 名 ,这 是 因为 在 该 站 点 的 “文档 ”选项 卡 中 已 经 指定 了 主页 文件 ,如 图 9-7 
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所 示 。 


图 9-7 文档 设置 


单 击 “ 添 加 ”按钮 ,可 以 添加 多 个 默认 文档 。 若 有 多 个 默认 文档 ,系统 会 先 读 取 最 上 面 
的 文件 , 若 在 站 点 的 主 目录 内 没有 该 文件 , 则 依次 读 取 后 面 的 文件 。 为 了 提高 读 取 速 度 ， 
建议 删除 其 他 不 存在 的 默认 文档 ,同时 把 真正 首页 的 文件 名 通过 单 击 * 上 移 "按钮 将 其 移 
动 到 最 项 部 。 


9.3 创建 Web 站 点 和 虚拟 目录 


每 个 Web 站 点 都 有 一 个 主 目录 ,对 Web 站 点 的 访问 实际 上 是 对 站 点 主 目录 中 内 容 
的 访问 。 如 果 要 通过 主 目录 发 布 信息 .需要 将 所 有 网 页 都 保存 到 网 站 的 主 目录 中 ,或 将 其 
组 织 到 主 目录 的 子 目录 中 ,保证 用 户 可 以 访问 主 目录 及 其 子 目录 中 的 所 有 文件 。 

通过 使 用 虚拟 目录 ,可 以 将 网 页 文件 存储 到 主 目录 以 外 的 其 他 文件 夹 内 ,这 个 文件 夹 
可 以 位 于 本 地 计算 机 ,也 可 位 于 别 的 计算 机 。 虚 拟 目 录 是 把 非 主 目录 内 的 内 容 映 射 到 主 
目录 内 ,每 个 虚拟 目录 都 有 一 个 别名 。 


9.3.1 在 同一 服务 器 上 创建 多 个 Web 站 点 


在 Internet 中 ,每 个 Web 站 点 都 具有 唯一 的 标识 ,这 个 标识 由 IP 地 址 、 端 口号 和 主 
机 头 名 称 这 3 个 部 分 共同 决定 。 根 据 网 站 标识 的 组 成 ,可 以 通过 3 种 方式 ,在 一 台 计 算 机 
上 建立 多 个 不 同 的 网 站 。 

(1) 利用 不 同 的 主机 头 名 称 。 此 时 计算 机 只 需要 一 个 IP 地 址 ,就 可 以 创建 多 个 网 
站 。 利 用 主机 头 名 称 来 区 分 每 一 个 网 站 。 
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(2) 利用 不 同 的 TCP 端口 。 此 时 每 一 个 网 站 都 使 用 一 个 非 标准 的 Web 服务 端口 
( 即 非 TCP 80 端口 ) ,利用 端口 号 来 区 分 每 一 个 网 站 。 这 种 方法 适合 内 部 Web 网 站 、 测 
试 网 站 使 用 ,但 不 适合 于 商业 网 站 。 

(3) 利用 不 同 的 IP 地 址 。 在 一 台 计算 机 的 网 卡 上 绑 定 多 个 也, 每 一 个 网 站 分 配 唯一 
的 IP 地 址 ,利用 IP 地 址 来 区 分 每 一 个 网 站 。 


1. 利用 不 同 的 主机 头 名 建立 不 同 的 网 站 


按照 表 9-1 中 的 要 求 , 利 用 同一 个 IP 地 址 .同一 个 端口 ,但 不 同 的 主机 头 来 建立 两 个 
不 同 的 网 站 ftp. xyz. net 和 vod. xyz. net。 


表 9-1 利用 不 同 的 主机 头 名 建立 不 同 的 网 站 


主机 头 名 称 IP 地 址 端口 号 主 目录 
ftp. xyz. net 192. 168. 10.1 80 C:\wwwrootl 
vod. xyz. net 192. 168. 10.1 80 C:\wwwroot2 


在 C 盘 根 目录 下 ,新 建 wwwrootl 文件 夹 ,作为 网 站 ftp. xyz. net 的 主 目录 ;另外 新 
建 wwwroot2 文件 夹 , 作 为 网 站 vod. xyz. net 的 主 目录 ,分 别 在 这 两 个 文件 夹 内 建立 内 容 
不 同 的 index. htm 文件 ,作为 这 两 个 网 站 的 默认 首页 ,以 便 测试 使 用 。 

事先 要 把 与 主机 头 名 ftp. xyz. net 和 vod. xyz. net 相对 应 的 IP 地 址 192. 168. 10.1 
注册 到 DNS 服务 器 内 。 

完成 上 述 准 备 工作 后 ,开始 创建 ftp. xyz. net 网 站 ,操作 步骤 如 下 。 

(1) 打开 *Internet 信息 服务 (IIS) 管 理 器 ”, 右 击 “ 网 站 ”一 选择 “新 建 ”~ 网 站 ”。 

(2) 出 现 “ 欢 迎 使 用 网 站 创建 向 导 ” 对 话 框 时 , 单 击 * 下 一 步 ” 按 钮 。 在 图 9-8 中 ,输入 
此 网 站 的 描述 , 单 击 * 下 一 步 ” 按 钮 。 


9-8 指定 网 站 描述 


(3) 在 图 9-9 中 ,在 “此 网 站 的 主机 头 ” 后 的 文本 框 中 输入 ftp. xyz. net, 单 击 “ 下 一 步 ” 
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按钮 。 


图 9-9 指定 网 站 IP 地 址 、 端 口 和 主机 头 


(4) 在 图 9-10 中 ,选择 网 站 ftp. xyz. net 的 主 目录 所 对 应 的 路 径 , 在 “路 径 ” 中 输入 路 
径 C:\wwwrootl ,也 可 以 单 击 * 浏 览 ?按钮 选择 路 径 , 单 击 * 下 一 步 " 按 钮 。 


图 9-10 指定 网 站 主 目录 


(5) 在 图 9-11 中 ,设置 好 权限 后 单 击 * 下 一 步 ? 按 钮 。 

(6) 出 现 “ 您 已 经 成 功 完 成 网 站 创建 向 导 ” 对 话 框 时 , 单 击 “完成 ”按钮 即 可 完成 ftp. 
xyz. net 网 站 的 创建 。 

利用 类 似 的 方法 ,创建 主机 头 为 vod. xyz. net 的 网 站 。 

打开 客户 端 计算 机 的 浏览 器 ,在 地 址 栏 内 输入 http://vod. xyz. net、http://ftp. xyz. 
net, 就 可 以 连接 网 站 ,并 测试 所 创建 的 网 站 是 否 能 正常 运行 。 
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网 站 创建 向 导 


图 9-11 指定 网 站 访问 权限 


2. 利用 TCP 连接 端口 建立 多 个 网 站 


按照 表 9-2 中 的 要 求 , 利 用 同一 个 了 P 地址、 同一 个 主机 头 ,不 同 的 端口 来 建立 两 个 不 
同 的 网 站 serverl. xyz. net:8080 和 serverl. xyz. net:8081。 


表 9-2 利用 TCP 连接 端口 建立 多 个 网 站 


主机 头 名 称 IP 地 址 TCP 端口 号 主 目录 
serverl. xyz. com 192. 168. 10.2 8080 C:\wwwroot3 
serverl. xyz. com 192. 168. 10.2 8081 C:\wwwroot4 


在 C 盘 根 目录 下 ,新 建 wwwroot3 文件 夹 ,作为 网 站 serverl. xyz. net:8080 的 主 目 
录 ; 另 外 新 建 wwwroot4 文件 夹 , 作 为 网 站 serverl. xyz. net:8081 的 主 目录 ,然后 分 别 在 
这 两 个 文件 夹 内 建立 内 容 不 同 的 index. htm 文件 ,作为 网 站 的 默认 网 页 ,以便 测试 使 用 。 

事先 要 把 与 主机 头 名 serverl. xyz. net 相对 应 的 IP 地 址 192. 168. 10. 2 注册 到 DNS 
服务 器 内 。 

完成 上 述 准备 工作 后 ,开始 创建 serverl. xyz. net:8080 网 站 ,操作 步骤 如 下 。 

(1) 打开 “Internet 信息 服务 (1IS) 管 理 器 ”, 右 击 “ 网 站 ”一 选择 “新 建 ”>“ 网 站 ”。 

(2) 出 现 “ 欢 迎 使 用 网 站 创建 向 导 ” 对 话 框 时 , 单 击 * 下 一 步 ” 按 钮 。 在 图 9-12 中 , 输 
入 此 网 站 的 描述 后 , 单 击 * 下 一 步 ? 按 钮 。 

(3) 在 图 9-13 中 ,指定 网 站 TCP 端口 ,在 此 输入 8080, 单 击 “ 下 一 步 ”按钮 。 

(4) 在 图 9-14 中 ,输入 网 站 server. xyz. net 的 主 目录 的 路 径 . 可 以 在 “路 径 >” 中 输入 路 
径 C:\wwwroot3 ,也 可 以 单 击 “ 浏 览 ?按钮 指定 路 径 , 单 击 * 下 一 步 ? 按 钮 。 

(5) 出 现 图 9-15 时 ,保持 默认 的 权限 不 变 , 单 击 “ 下 一 步 ? 按 钮 。 

(6) 出 现 “ 您 已 经 成 功 完 成 了 网 站 创建 向 导 ” 对 话 框 时 , 单 击 “ 完 成 ”按钮 即 可 完成 
serverl. xyz. net:8080 网 站 的 创建 。 
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图 9-12 指定 网 站 描述 


图 9-14 指定 网 站 主 目录 
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图 9-15 指定 网 站 的 访问 权限 


利用 类 似 的 方法 ,创建 立 名 为 server. xyz. net:8081 的 网 站 。 
打开 客户 端 计算 机 的 浏览 器 ,在 地 址 栏 内 输入 http://serverl. xytz. net: 8080、 
http://serverl. xytz. net:8081 ,就 可 以 连接 网 站 ,并 测试 所 创建 的 网 站 是 否 能 正常 运行 。 


3. 利用 多 个 IP 地 址 建立 多 个 网 站 


在 一 个 网 卡 上 可 以 绑 定 多 个 IP 地 址 ,利用 绑 定 的 多 个 IP 地 址 就 可 以 在 同一 台 Web 
服务 器 上 建立 多 个 不 同 的 网 站 。 按 照 表 9-3 中 的 要 求 , 利 用 同一 个 端口 ,但 不 同 的 IP 地 
址 ,在 同一 台 Web 服务 器 上 建立 两 个 不 同 的 网 站 server2. xyz. net 和 server3. xyz. net。 


表 9-3 利用 多 个 IP 地 址 建立 多 个 网 站 


主机 头 名 称 IP 地 址 端口 号 主 目录 
server2. xyz. net 192. 168. 10.3 80 C:\wwwroot5 
server3. xyz. net 192. 168. 10.4 80 C:\wwwroot6 


在 C 盘 根 目录 下 ,新建 wwwroot5 文件 夹 ,作为 网 站 server2. xyz. net 的 主 目录 ;另外 
新 建 wwwroot6 文件 夹 ,作为 网 站 server3. xyz. net 的 主 目录 ,然后 分 别 在 这 两 个 文件 夹 
内 建立 内 容 不 同 的 index. htm 文件 ,作为 网 站 的 默认 网 页 ,以 便 测试 使 用 。 

首先 要 在 Web 服务 器 上 绑 定 多 个 IP 地 址 ,操作 步骤 为 : 右 击 "网 上 邻居 ”一 “属性 ”一 
“本 地 连接 ”一 “属性 ”>“Internet 协议 (TCP/IP)” 一 “属性 ”一 “高 级 ”, 单 击 “IP 地 址 ?下 的 “ 添 
加 ”按钮 ,添加 外 地 址 192.168.10.3 和 192.168.10.4, 完 成 后 如 图 9-16 所 示 。 

还 要 把 与 主机 头 名 server2. xyz. net 和 server3. xyz. net 相对 应 的 IP 地 址 192. 168. 
10.3 和 192. 168. 10. 4 注册 到 DNS 服务 器 。 

完成 上 述 准 备 工 作 后 ,开始 创建 server2. xyz. net 网 站 ,操作 步骤 如 下 。 

(1) 打开 “Internet 信息 服务 (1IS) 管 理 器 ”, 右 击 “ 网 站 ”一 选择 “新 建 ”>“ 网 站 ”。 

(2) 出 现 * 欢 迎 使 用 网 站 创建 向 导 ? 对 话 框 时 , 单 击 * 下 一 步 ? 按 钮 。 在 图 9-17 中 , 输 
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入 此 网 站 的 描述 , 单 击 “ 下 一 步 "按钮 。 


高 急 TCP/IP 设置 


192. 168. 10, 254 


图 9-16 绑 定 多 个 IP 地 址 


图 9-17 指定 网 站 描述 


(3) 在 图 9-18 中 ,在 “网 站 IP 地 址 ?下 拉 列 表 中 ,选择 需要 绑 定 的 IP 地 址 , 单 击 “ 下 一 
步 " 按 钮 。 

(4) 在 图 9-19 中 ,选择 网 站 server2. xyz. net 的 主 目 录 所 对 应 的 路 径 , 可 以 在 “路 径 ” 
中 输入 路 径 C:\wwwroot5 ,也 可 以 单 击 * 浏 览 ? 按 钮 来 指定 路 径 , 单 击 * 下 一 步 "按钮 。 

(5) 出 现 图 9-20 时 , 单 击 “ 下 一 步 ? 按 钮 。 

(6) 出 现 “ 您 已 经 成 功 完 成 了 网 站 创建 向 导 ” 对 话 框 时 , 单 击 “ 完 成 ”按钮 即 可 创建 IP 
地 址 为 192. 168. 10. 3 的 网 站 。 
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图 9-20 设置 网 站 的 访问 权限 
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Web 服务 器 


利用 类 似 的 方法 创建 IP 地 址 为 192. 168. 10. 4 的 网 站 。 
打开 客户 端 计算 机 的 浏览 器 ,在 地 址 栏 内 输入 http://server2. xyz. net、 http:// 
server3. xyz. net, 就 可 以 连接 网 站 ,并 测试 所 创建 的 网 站 是 否 能 正常 运行 。 


9.3.2 创建 虚拟 目录 


虚拟 目录 是 Web 站 点 发 布 信息 的 重要 方式 。 虚 拟 目录 可 以 把 站 点 主 目录 之 外 的 内 
容 映射 到 主 目录 内 ,就 像 是 主 目录 中 的 内 容 一 样 。 而 这 些 内 容 可 以 是 本 地 计算 机 上 的 目 
录 , 或 者 是 另 一 台 计 算 机 上 的 共享 目录 或 是 一 个 URL。 物 理 目录 的 存放 路 径 对 虚拟 目录 
别名 没有 任何 影响 。 

利用 虚拟 目录 发 布 网 站 ,客户 端 在 浏览 器 中 输入 “http://IP( 域 名 )/ 虚 拟 目 录 别 名 ” 
来 浏览 虚拟 目录 内 的 内 容 。 

在 主机 头 名 为 www. xyz. net 的 网 站 内 建立 虚拟 目录 ,其 创建 要 求 如 表 9-4 所 示 。 


表 9-4 利用 虚拟 目录 创建 网 站 


主机 头 名 称 IP 地 址 端口 号 目 录 
Www. xyz. net 192. 168. 10. 1 80 C:\Inetpub\wwwroot (默认 主 目录 ) 
虚拟 目录 别名 vod 192. 168. 10.1 80 D:\vodceshi( 虚 拟 目录 的 物理 路 径 ) 


在 DD 盘 新 建 vodceshi 文件 夹 ,作为 网 站 www. xyz. net 的 虚拟 目录 对 应 的 物理 目录 ， 
并 在 此 文件 夹 内 建立 和 主 目录 的 首页 内 容 不 同 的 index. htm 文件 ,以 便 测试 使 用 。 

为 了 让 用 户 能 够 正常 浏览 利用 虚拟 目录 发 布 的 网 站 http://www. xyz. net/vod, 需 
要 把 与 主机 头 名 www. xyz. net 相对 应 的 IP 地 址 192. 168. 10. 1 注册 到 DNS 服务 器 ,并 
配置 好 主 目录 为 C:\Inetpub\wwwroot 的 默认 网 站 。 

做 好 上 述 准 备 工作 后 ,开始 在 默认 网 站 内 建立 虚拟 目录 ,操作 步骤 为 如 下 。 

(1) 打开 “Internet 信息 服务 (IIS) 管 理 器 ,选择 “网 站 ”, 右 击 * 默 认 网 站 ”, 选 择 “ 新 
建 ” 一 “虚拟 目录 ”。 

(2) 出 现 * 欢 迎 使 用 虚拟 目录 创建 向 导 ? 对 话 框 时 , 单 击 * 下 一 步 ? 按 钮 。 在 图 9-21 
中 ,为 虚拟 目录 设置 一 个 别名 , 单 击 * 下 一 步 ? 按 钮 。 

(3) 在 图 9-22 中 ,选择 虚拟 目录 所 对 应 的 物理 目录 的 路 径 , 可 以 在 路径? 中 输入 路 
径 D:\vodceshi, 或 者 单 击 “ 浏 览 ” 按 钮 指定 路 径 , 单 击 “ 下 一 步 ” 按 钮 。 

(4) 出 现 图 9-23 时 , 单 击 “ 下 一 步 ” 按 钮 。 

(5) 出 现 “ 您 已 顺利 完成 虚拟 目录 创建 向 导 ” 对 话 框 时 , 单 击 “ 完 成 ”按钮 即 可 完成 别 
名 为 vod、 物 理 目录 路 径 为 D:\vodceshi 的 虚拟 目录 的 创建 。 如 图 9-24 所 示 , 虚 拟 目 录 的 
图 标 为 齿轮 形状 。 

打开 客户 端 计算 机 的 浏览 器 ,在 地 址 栏 内 输入 http://www. xyz. net/vod/ ,来 连接 
网 站 以 测试 所 建立 的 虚拟 目录 内 的 内 容 是 否 能 正常 运行 。 
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虚拟 目录 别名 
为 虚拟 目录 指定 一 个 短 名 称 或 别名 。 


图 9-21 为 虚拟 目录 设置 一 个 别名 


虚拟 目录 创建 向 导 


网 站 内 容 目录 
要 发 布 到 网 站 上 的 内 容 的 位 置 。 


| 
vy 


固 天 因 


图 9-23 设置 虚拟 目录 的 访问 权限 
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Web 服务 器 


| CITS) 管 理 器 
各 文件 中 ”操作 查看 WD 窗口 W)。 帮助 0 
中 小 | 因 | 国 |X 略 加 蚁 | 岛 | 旦 | >》 


e 务 
日 - 蔓 server01 本 地 计算 机 ) 
六 应 用 程序 池 
日 岛 网 6 


3 
日 售 默认 网 站 


由 交 aspnet_client 


Ed | 


图 9-24 创建 的 虚拟 目录 


9.4 网 站 安全 性 设置 


默认 情况 下 , Windows Server 2003 中 安装 的 HS 只 支持 静态 网 页 ,其 他 相应 的 服务 
处 于 “停止 ?状态 ,以 减少 人 侵 者 攻击 的 机 会 。 管 理 员 可 以 根据 需要 自行 安装 相关 组 件 .局 
用 相关 服务 。 通 过 访问 认证 方式 和 访问 权限 的 设置 ,在 一 定 程度 上 能 保证 Web 服务 器 的 
安全 性 。 


9.4.1 用 户 身份 验证 方法 


用 户 身份 验证 是 指 用 户 在 访问 服务 器 上 的 资源 时 ,需要 提供 有 效 的 用 户 名 和 密码 ,只 
有 通过 验证 之 后 ,用 户 才 可 以 访问 资源 。IIS 提供 的 安全 验证 方法 有 匿名 验证 、 基 本 身份 
验证 、 摘 要 式 验 证 和 集成 Windows 身份 验证 。 

以 默认 网 站 为 例 , 要 设置 网 站 验证 方法 ,操作 步骤 为 : 打开 “Internet 信息 服务 (IIS) 
管理 器 ” ,选择 网 站 , 右 击 “默认 网 站 ”, 选 择 * 属 性 ,打开 如 图 9-25 所 示 的 “目录 安全 性 ” 选 
项 卡 。 

单 击 * 身 份 验证 和 访问 控制 ?区 域 中 的 “编辑 ”按钮 ,出 现 图 9-26 。 


1. 启用 匿名 访问 


启用 匿名 访问 允许 所 有 客户 访问 网 站 的 公开 信息 ,不 需要 提供 用 户 名 与 密码 。 所 有 
的 浏览 器 都 支持 匿名 验证 。 当 用 户 尝试 连接 Web 站 点 时 ,服务 器 会 利用 在 安装 IIS 时 自 
动 建立 的 “IUSR_ 计 算 机 名 称 ” 用 户 账户 作为 匿名 账户 。 

也 可 以 自行 选择 匿名 账户 , 先 在 Active Directory 数据 库 或 本 机 安全 账户 数据 库 内 建 
立 此 账户 ,然后 在 图 9-26 中 单 击 “ 浏 览 ” 按 钮 选择 此 账户 并 输入 账户 的 密码 。 如 果 网 站 启 
用 了 匿名 验证 ,同时 又 选取 其 他 的 验证 方法 , 则 IIS 会 先 利 用 匿名 方法 来 验证 用 户 的 
身份 。 
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图 9-26 指定 身份 验证 方法 


2. 集成 Windows 身份 验证 


集成 Windows 身份 验证 要 求 用 户 输入 用 户 名 与 密码 ,集成 Windows 身份 验证 支持 
两 种 验证 方法 ,分 别 为 Kerberos V5 和 NTLM 验证 。 集 成 Windows 身份 验证 是 
Windows Server 2003 默认 使 用 的 验证 方法 。 

在 客户 端 计算 机 上 ,用 户 可 以 设置 是 要 自动 利用 登录 的 账户 来 连接 网 站 ,还 是 要 求 用 
户 自 行 输入 用 户 名 与 密码 ,其 设置 方法 : 打开 IE 的 “工具 ”菜单 一 “Internet 选项 ”, 选 择 网 
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站 所 在 区 域 ,选择 “安全 ”选项 卡 ,如 图 9-27 所 示 。 
单 击 “ 自 定义 级 别 ” 按 钮 ,出 现 图 9-28, 在 “用 户 验证 ”下 的 “登录 ”内 ,选择 合适 的 登录 


@ 只 在 Intranet 区 域 自动 登录 
〇 自动 使 用 当前 用 户 名 和 密码 登录 


图 9-27 设置 下 的 安全 选项 图 9-28 设置 用 户 验 证 的 方式 


3. Windows 域 服务 器 的 摘要 式 身份 验证 


只 有 当 Web 服务 器 运行 在 Active Directory 域 的 成 员 服 务 器 或 域 控制 器 上 时 , 才 可 
以 启用 “Windows 域 服务 器 的 摘要 式 身份 验证 *"。 用 户 登 录 的 账户 必须 是 Active 
Directory 内 的 域 用 户 账户 ,而 且 此 账户 必须 Web 服务 器 在 同一 个 域内 或 是 在 同一 个 信 
任 域内 。 

“Windows 域 服务 器 的 摘要 式 身 份 验证 ” 比 “ 基 本 身份 验证 ”更 安全 ,因为 用 户 名 与 密 
码 会 经 过 MD5 算法 的 处 理 , 然 后 将 处 理 后 所 产生 的 散 列 随机 数 传送 到 网 站 。 即 使 散 列 
随机 数 被 别人 截取 ,别人 也 没有 办 法 从 散 列 随机 数 得 知 用 户 名 与 密码 。 


4. 基本 身份 验证 


基本 身份 验证 是 HTTP 规范 中 的 一 部 分 , 绝 大 多 数 的 浏览 器 都 支持 这 种 验证 方法 ， 
该 验证 过 程 中 ,用 户 名 和 密码 是 以 明文 形式 发 送 的 ,没有 经 过 加 密 , 因 此 存在 安全 问题 。 

若 这 是 唯一 可 选 的 身份 验证 方法 ,也 应 和 SSL 配合 使 用 ,要 使 用 SSL 必须 获得 一 个 
服务 器 证 书 ,请求 用 一 个 特定 的 端口 进行 数据 传输 ,同时 禁用 其 他 任何 形式 的 身份 验证 
方法 。 

默认 IIS 会 先 利 用 匿名 方式 验证 用 户 的 身份 ,为 了 更 好 地 测试 基本 身份 验证 , 先 将 匿 
名 验证 的 方法 停 用 ,选择 * 基 本 身份 验证 (以 明文 形式 发 送 密码 )”。 启 动 基本 身份 验证 ,出 
现 图 9-29 时 , 单 击 * 是 ?按钮 。 
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《Windows 网 络 管理 简明 教程 


在 图 9-30 所 示 的 “默认 域 " 和 “领域 "内 输入 以 下 信息 。 


身份 验证 方法 


IIS 管理 器 


图 9-29 ”启动 基本 身份 验证 时 的 警告 对 话 框 图 9-30 指定 默认 域 和 领域 信息 


(1) 默认 域 。 用 来 设置 用 户 账户 所 隶属 的 域 。“ 默 认 域 ”处 没有 输入 信息 ,如 果 IIS 计 
算 机 是 独立 服务 器 , 则 以 本 地 安全 性 数据 库 来 检查 
用 户 名 称 与 密码 是 否 正确 ;如 果 IIS 计算 机 是 域 控 
制 器 , 则 以 Active Directory 数据 库 来 检查 用 户 名 
与 密码 是 否 正确 。 

(2) 领域 。 会 被 显示 在 用 户 登录 界面 上 。 

当 用 户 利用 浏览 器 连接 启动 了 基本 身份 验证 
的 站 点 时 ,将 显示 如 图 9-31 所 示 的 界面 。 


S. .NET Passport 身份 验证 


此 选项 是 Windows Server 2003 新 增加 的 内 ”图 9-31 连接 到 站 点 时 的 登录 界面 
容 , 它 允许 在 Web 站 点 上 运行 . NET Passport 身 
份 验证 服务 ,使 Web 站 点 依靠 . NET Passport 验证 中 心 来 对 用 户 进 行 身份 验证 ,而 不 是 
使 用 服务 器 上 的 身份 验证 系统 。 这 样 用 户 只 需要 一 个 . NET Passport 的 用 户 名 和 密码 就 
可 以 访问 所 有 支持 . NET Passport 的 Web 站 点 。 


9.4.2 基于 IIS 的 权限 
在 Web 站 点 上 , 右 击 “属性 ”, 选 择 “ 主 目录 ”选项 卡 ,其 包含 了 Web 站 点 访问 权限 和 


应 用 程序 设置 ,如 图 9-32 所 示 。 
Web 站 点 的 访问 权限 主要 包括 6 种 ,其 中 ,默认 启用 读 取 、 记 录 访 问 、 索 引资 源 3 种 
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Web 服务 器 


图 9-32 “ 主 目录 ”选项 卡 


权限 。 

(1) 读 取 。 客 户 端 可 以 下 载 .浏览 网 页 。 如 果 Web 站 点 的 内 容 位 于 NTFS 文件 系统 
的 分 区 上 ,客户 端 是 否 可 以 下 载 浏览 网 页 还 要 取决 于 NTFS 权限 的 设置 。 

(2) 目录 浏览 。 允 许 客户 端 浏 览 Web 站 点 目录 。 如 果 启 用 此 权限 , 当 Web 站 点 没 
有 默认 文档 时 ,客户 端 输 入 的 URL 又 没有 指定 文件 名 FB 一 一 
时 ,浏览 器 显示 站 点 的 目录 列表 ,如 图 9-33 所 示 。 但 虚 | 2 和 Se 


26105 cat.asp~catid=65.html 


拟 目 录 并 不 会 出 现 目录 列表 中 。 建 议 不 要 启用 目录 浏 | 22432 全 人 ecient 


览 的 权限 ,以 免 暴露 站 点 内 的 关键 信息 。 和 让 全 ee 
(3) 记录 访问 。 将 客户 的 访问 操作 记录 在 日 志文 | 19081 SEE SSOEPEO9Td2E23 hemi 


16472 check.asp~ProdId=525.hewl 
件 中 15863 check.asp~ProdId=527.html 
15256 check.asp~ProdId=528.html 


(4) 索引 资源 。 可 以 让 客户 端 在 Web 站 点 的 文档 14036 chack. aaprProdld=529. 50l 
中 快速 找到 所 搜索 的 内 容 。 图 9-33 ”站 点 的 目录 列表 

(5) 写 入 。 人 允许 客户 端 上 载 或 编辑 文件 ,但 用 户 最 
终 是 否 有 上 载 或 者 编辑 权限 还 要 取决 于 这 些 文件 的 NTFS 权限 。 

(6) 脚本 资源 访问 。 人 允许 客户 端 访问 站 点 脚本 文件 ,例如 ASP、JSP 等 。 

在 “应 用 程序 设置 ?处 ,有 ”执行 权限 ?下 拉 框 ,如 图 9-34 所 示 。 

(1) 脚本 和 可 执行 文件 。 人 允许 运行 任何 应 用 程序 ,包括 映射 到 脚本 引擎 和 Windows 
二 进 制 文件 (. dll 和 . exe 文件) 的 应 用 程序 。 

(2) 纯 脚 本 。 在 无 须 设置 执行 权限 的 情况 下 ,使 映射 到 脚本 引擎 的 应 用 程序 可 以 在 
此 目录 中 和 运行。 脚本 权限 比 执行 权限 更 安全 。 

(3) 无 。 不 允许 任何 程序 在 Web 站 点 中 运行 , 即 客户 端 只 有 浏览 静态 网 页 的 权限 。 

默认 情况 下 Windows Server 2003 操作 系统 只 能 支持 静态 网 页 的 访问 ,要 想 支 持 其 
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图 9-34 IIS 执行 权限 


他 类 型 的 动态 访问 网 站 ,需要 在 Web 扩展 服务 中 自行 启动 相关 的 服务 扩展 ,以 便 让 IIS 
支持 其 他 类 型 的 网 站 。 

要 启动 /禁止 扩展 服务 ,操作 步骤 为 : 启动 IIS 管理 器 ,展开 本 地 计算 机 ,选择 "Web 
服务 扩展 ”, 如 图 9-35 所 示 , 右 击 要 启动 的 服务 ,选择 "允许 /禁止 ?选项 ,或 者 在 选取 该 
服务 后 , 单 击 * 人 允许" 人 禁止? 按钮。 


图 9-35 启动 /禁止 扩展 服务 


9.4.3 使 用 NTFS 权限 


要 防止 未 经 授权 的 用 户 访问 站 点 的 内 容 , 就 需要 恰当 而 安全 地 配置 站 点 内 文件 均 和 
文件 的 NTFS 权限 。NTFS 权限 与 Web 站 点 的 访问 权限 结合 共同 决定 用 户 的 最 终 权 限 ， 
并 采用 对 用 户 限制 最 严格 的 权限 ( 即 两 者 权限 的 交集 ) ,以 增强 网 站 的 安全 性 。 
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与 Web 站 点 的 访问 权限 不 同 ,NTFS 权限 会 影响 通过 任何 方式 访问 网 站 内 容 ( 例 如 
本 地 .远程 访问 或 者 通过 浏览 器 访问 ) 的 用 户 ,而 Web 站 点 的 访问 权限 仅 会 影响 通过 浏览 
器 访问 该 网 站 的 用 户 。 

要 设置 网 站 的 文件 夹 或 文件 的 NTFS 权限 ,操作 步骤 为 : 右 击 网 站 的 文件 夹 或 文 
件 , 选 择 “ 属 性 ”>“ 安 全 ”选项 卡 , 可 以 针对 特定 的 用 户 或 组 设置 必要 的 NTFS 权限 ,如 
图 9-36 所 示 。 


图 9-36 设置 网 站 的 文件 夹 的 NTFS 权限 


在 确保 网 站 提供 的 各 项 内 容 或 服务 都 能 正常 运行 的 情况 下 ,要 给 网 站 的 文件 或 文件 
夹 设置 尽 可 能 少 的 NTFS 权限 ,其 他 无 用 的 权限 都 删除 掉 , 从 而 保证 网 站 内 容 的 安全 。 
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第 10 章 ”远程 访问 与 虚拟 专用 网 


学 习 目 标 

通过 本 章 学 习 , 了 解 连接 到 远程 访问 服务 器 的 方式 以 及 数据 通信 协议 ,掌握 如 何 配置 
远程 访问 服务 器 ,以 及 如 何 配置 客户 端 使 之 能 拨号 连接 到 远程 访问 服务 器 ,掌握 VPN 服 
务 器 的 配置 。 


10.1 连接 到 远程 访问 服务 器 的 方式 


通过 配置 路 由 和 远程 访问 (Routing and Remote Access Service,RRAS) ,远程 用 户 可 
以 连接 本 地 的 局 域 网 。 而 虚拟 专用 网 络 (Virtual Private Network,VPN) 可 以 让 远程 用 
户 通 过 Internet 来 安全 地 访问 公司 内 部 的 网 络 资源 。 


1. 通过 PSTN 连接 


通过 PSTN 接 入 是 指 用 户 利用 现 有 的 公共 交换 电话 网 (Published Switched 
Telephone Network,PSTN) 并 通过 调制 解 调 器 (Modem) 拨 号 接 入 到 Internet 或 局 域 网 ， 
如 图 10-1 所 示 。 


客户 端 
S 


调制 解 调 器 


Winddows Server 2003 
远程 访问 服务 器 


调制解调器 
图 10-1 通过 PSTN 连接 到 远程 访问 服务 器 
PSTN 采用 模拟 信号 ,而 计算 机 采用 数字 信号 ,因此 客户 端 与 服务 器 端 之 间 的 通信 需 
要 通过 Modem 来 执行 模拟 信号 与 数字 信号 之 间 的 转换 。 目 前 这 种 接 入 方式 最 高 的 速率 
为 56kbps, 远 远 不 能 满足 传输 大 容量 信息 的 宽带 需求 .但 由 于 电话 网 非常 普及 , Modem 
又 很 便宜 ,因此 这 种 接 入 方式 最 为 经 济 。 
2. 通过 ADSL Modem 连接 


通过 ADSL Modem 实现 拨号 接 入 到 Internet 或 局 域 网 ,必须 确定 有 网 卡 、.ADSL 
Modem 及 配套 的 分 离 器 (或 称 为 滤波 器 ) ,如 图 10-2 所 示 。 


远程 访问 与 虚拟 专用 网 


生 语 “| 电话 线 
分 离 器 


Internet 


ADSL Modem 
10-2 通过 ADSL Modem 连接 到 远程 访问 服务 器 


3. 直接 电缆 连接 


直接 电缆 连接 是 指 利 用 计算 机 的 串 行 端口 (COM) 或 并 行 端口 (LPT) 在 计算 机 之 间 
来 实现 数据 的 传输 ,有 两 种 连接 的 方式 。 

(1) 串 行 端口 。 客 户 端 可 以 直接 利用 一 条 RS-232C 调制 解 调 器 电缆 来 连接 远程 访问 
服务 器 ,这 条 电缆 的 两 端 分 别 连接 到 这 两 台 计 算 机 的 COM 端口 。 这 种 方式 连接 速度 也 
较 慢 ,并 要 求 两 台 计算 机 之 间 的 距离 也 不 宜 超过 15m ,否则 信和 号 会 失真 。 

(2) 并 行 端口 。 也 就 是 通过 打印 机 的 连接 端口 (LPT) 来 连接 ,并 要 求 并 口 电缆 长 度 
最 好 不 超过 3m。 

直接 电缆 连接 不 需要 网 卡 , 因 此 连接 的 成 本 低廉 ,但 连接 距离 较 短 ,传输 速度 较 慢 。 


4. 通过 虚拟 专用 网 连接 


虚拟 专用 网 (Virtual Private Network,VPN) 让 远程 用 户 可 以 通过 Internet 安全 地 访 
问 公司 内 部 的 网 络 资源 。VPN 是 专用 网 络 的 延伸 ,通过 公共 网 络 基础 设施 (例如 
Internet) 为 用 户 创建 隧道 ,并 提供 与 专用 网 络 一 样 的 安全 功能 。Windows Server 2003 支 
持 的 VPN 通信 协议 有 PPTP(Point-to-Point Tunneling Protocol) 与 L2TP(Layer Two 
Tunneling Protocol)。VPN 最 大 的 好 处 是 方便 用 户 访问 公司 内 部 网 络 , 并 降低 访问 公司 
内 部 网 络 的 成 本 。 


10.2 数据 传输 通信 协议 

Windows Server 2003 远程 访问 网 络 中 的 客户 端 和 服务 器 必须 支持 两 类 数据 传输 通 
信 协 议 : 一 类 是 远程 访问 通信 协议 ,用 来 控制 广域网 连接 上 的 数据 传输 ; 另 一 类 是 局 域 网 
通信 协议 ,用 于 控制 远程 客户 端 访问 服务 器 及 其 所 在 网 络 。 典 型 的 远程 访问 网 络 的 结构 
如 图 10-3 所 示 。 
10.2.1 远程 访问 通信 协议 


Windows Server 2003 远程 访问 服务 器 支持 的 远程 访问 通信 协议 有 4 个 。 
(1) PPP(Point-to-Point Protocol) 。PPP 作为 一 种 工业 标准 ,是 目前 应 用 广泛 的 远 
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远程 访问 协议 

PPP、 Microsoft RAS 、SLIP 、ARAP 

LAN 协 议 

TCP/IP ~ NWLink、 IPX、 AppleTalk ~、 NetBEUI 


拨号 网 络 
PSTN ISDN 、 
ADSL、X.25 等 


Winddows Server 2003 
远程 访问 服务 器 


Winddows Server 2003 服 务 器 


UNIX 服 务 器 
Linux 服 务 器 
XP/2000/2003 网 络 资源 服务 器 


图 10-3 远程 访问 网 络 的 结构 


程 访问 通信 协议 ,而 且 其 安全 措施 完善 .扩充 性 较 强 ,能 够 满足 当前 与 未 来 的 需求 ,是 微软 
公司 推荐 的 远程 访问 协议 。 

(2) SLIP(Serial Line Internet Protocol)。SLIP 全 称 为 串 行 线路 网 际 协议 ,主要 应 
用 在 UNIX 远程 访问 服务 器 下 ,作为 较 旧 的 远程 访问 协议 ,还 存在 一 些 问 题 。Windows 
Server 2003 远程 访问 服务 器 不 支持 客户 端 利用 SLIP 来 连接 ,但 是 Windows NT、 
Windows XP、Windows 2000 等 远程 访问 客户 端 支持 SLIP, 可 以 连接 到 符合 SLIP 标准 
的 远程 访问 服务 器 。 

(3) ARAP(AppleTalk Remote Access Protocol)。 该 协议 支持 Apple 的 Macintosh 
远程 访问 客户 端 连接 到 Windows Server 2003 远程 访问 服务 器 ,但 Windows Server 2003 
远程 访问 客户 端 不 支持 利用 ARAP 来 连接 支持 ARAP 的 远程 访问 服务 器 。 

(4) Microsoft RAS Protocol( Microsoft Remote Access Service Protocol)。 该 协议 
是 微软 公司 专 有 的 数据 传输 通信 协议 ,是 早期 Windows 操作 系统 所 广泛 采用 的 专用 远程 
访问 通信 协议 ,只 能 配合 NetBEUI 局 域 网 通信 协议 使 用 ,因此 远程 访问 服务 器 和 客户 端 
都 必须 安装 NetBEUI 局 域 网 通信 协议 。 


10.2.2 局 域 网 通信 协议 


客户 端 利用 远程 访问 通信 协议 连接 到 远程 访问 服务 器 后 ,需要 再 利用 局 域 网 通信 协 
议 与 远程 访问 服务 器 通信 ,并 通过 远程 访问 服务 器 与 局 域 网 内 的 其 他 计算 机 通信 。 
Windows Server 2003 远程 访问 支持 的 局 域 网 通信 协议 有 TCP/IP、NWLink、IPX/SPX、 
AppleTalk 和 NetBEUI 等 。 局 域 网 通信 协议 可 以 限制 远程 访问 客户 端 是 访问 整个 网 络 
还 是 只 能 访问 远程 访问 服务 器 本 身 。 


10.3 ”远程 访问 网 络 


Windows Server 2003 集成 了 远程 访问 服务 组 件 ,效率 虽 然 不 如 专门 的 硬件 设备 ,但 
在 有 些 场合 下 不 失 为 一 种 经 济 、 有 效 的 解决 方案 ,特别 适合 远程 接 入 用 户 较 少 的 网 络 
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使 用 。 

在 图 10-4 所 示 的 远程 访问 网 络 中 ,客户 端 通过 调制 解 调 器 拨号 连接 到 Windows 
Server 2003 远程 访问 服务 器 。 要 实现 从 客户 端 连接 到 远程 访问 服务 器 ,需要 完成 以 下 
三 步 。 

(1) 安装 远程 访问 服务 器 。 

(2) 授予 用 户 远程 访问 的 权限 。 

(3) 客户 端的 设置 。 


汪 二 


调制 解 调 器 调制 解 调 器 
客户 端 Windows Server 2003 地 
远程 访问 服务 器 < 4 


图 10-4 远程 访问 网 络 


10.3.1 安装 远程 访问 服务 器 


要 配置 Windows Server 2003 远程 访问 服务 器 ,服务 器 上 要 事先 安装 调制 解 调 器 。 
如 果 Windows Server 2003 服务 器 启用 了 “Internet 连接 防火 墙 (Internet Connection 
Firewall,ICF)”, 请 先 停 用 ICF ,否则 无 法 安装 远程 访问 服务 器 。 

安装 远程 访问 服务 器 的 操作 步骤 如 下 。 

(1) 打开 “路 由 和 远程 访问 "控制 台 , 右 击 SERVER01( 本 地 ) ,在 弹出 的 快捷 菜单 中 
选择 “配置 并 启用 路 由 和 远程 访问 "选项 ,如 图 10-5 所 示 。 


问 ， 在 “操作 ”菜单 上 单 击 “ 配 置 并 启 


图 10-5 配置 并 启用 路 由 和 远程 访问 
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(2) 在 “欢迎 使 用 路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 中 , 单 击 “ 下 一 步 ” 按 钮 。 
在 图 10-6 中 ,选择 “远程 访问 (拨号 或 VPN)” 单 选 按钮 , 单 击 “ 下 一 步 " 按 钮 。 


路 由 和 远程 访问 服务 器 安装 向 导 


配置 rp— 
您 可 以 启用 下 列 服 务 的 任意 组合 ,或者 您 可 以 自 定义 此 服务 器 。 SL 


图 10-6 选择 “远程 访问 (拨号 或 VPN)” 单 选 按钮 
(3) 在 图 10-7 中 ,选中 “拨号 " 复 选 框 , 单 击 " 下 一 步 ”按钮 。 


图 10-7 选中 “拨号 " 复 选 框 


(4) 车 该 服务 器 安装 了 多 个 网 卡 , 每 一 个 网 卡 连接 到 一 个 网 络 , 此 处 要 设置 当 客户 端 
拨号 连接 成 功 后 将 属于 哪 一 个 网 络 ,以 便 为 该 客户 端 分 配 IP 地 址 。 在 此 选择 “本 地 连 
接 ”, 如 图 10-8 所 示 , 单 击 “下 一 步 ? 按 钮 。 

(5) 在 图 10-9 中 ,选择 为 客户 端 指派 IP 地 址 的 方法 。 可 以 利用 DHCP 服务 器 自动 
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图 10-8 指派 客户 端 所 属 的 网 络 


路 由 和 远程 访问 最 务 


图 10-9 选择 为 客户 端 指派 IP 地 址 的 方法 


(6) 在 图 10-10 中 ,选择 “和 否 ,使 用 路 由 和 远程 访问 来 对 连接 请 求 进行 身份 验证 ” 单 选 
按钮 , 单 击 “ 下 一 步 ” 按 钮 。 

(7) 再 出 现 “ 完 成 路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 时 , 单 击 “ 完 成 按钮。 出 
现 图 10-11 时 , 单 击 “ 确 定 ” 按 钮 。 

(8) 远程 访问 服务 器 安装 完成 后 ,如 图 10-12 所 示 。 若 要 将 远程 访问 客户 端的 
DHCP 消息 转发 到 其 他 网 络 内 的 DHCP 服务 器 ,在 “IP 路 由 选择 ”下 的 “DHCP 中 继 代理 
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图 10-10 管理 多 个 远程 访问 服务 器 


路 由 和 远程 访问 


此 服务 器 上 配置 了 路 由 和 远程 访问 

此 服务 器 已 经 用 路 由 和 远程 访问 服务 器 安装 向 导 进行 了 
。 要 对 当前 配置 进行 更 改 ， 请 在 控制 台 树 中 选择 一 

个 项 目 ， 然 后 在 “操作 ”菜单 上 单 击 “ 属 性 ”。 

有 关 安装 路 由 和 远程 访问 ， 部 团 方 案 ， 以 及 疑难 解答 的 

更 多 信息 ， 请 参阅 路 由 和 远程 访问 帮助 。 


图 10-12 远程 访问 服务 器 安装 完成 后 


在 远程 访问 客户 端 成 功 建立 拨号 连接 后 , 若 要 限制 客户 端 只 能 访问 这 人 台 远 程 访问 服 
务 器 内 的 资源 ,而 不 能 访问 远程 访问 服务 器 所 在 网 络 内 其 他 计算 机 的 资源 ,操作 步骤 为 : 
右 击 图 10-5 中 的 SERVER01( 本 地 ) 一 选择 “属性 ”命令 一 “IP” 选 项 卡 ,去 掉 “ 启 用 IP 路 
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由 ”前 的 复 选 框 即 可 。 
10.3.2 授予 用 户 远 程 访问 的 权限 


默认 情况 下 , 域 用 户 账 户 或 本 地 用 户 账户 都 没有 拨号 连接 到 远程 访问 服务 器 的 权限 。 
要 使 这 些 用 户 能 够 和 远程 访问 服务 器 建立 连接 ,必须 为 这 些 用 户 授予 氢 入 权限 ,并 且 这 些 
用 户 账户 的 密码 均 不 能 为 空 ,否则 拨 入 验证 不 会 成 功 。 


1. 授予 域 用 户 远程 访问 的 权限 


要 授予 域 用 户 远 程 访 问 的 权限 ,操作 步骤 为 : 单 击 * 开 始 ” 盖 程序 ”~ 管理 工具 ”一 
“Active Directory 用 户 和 计算 机 ”, 右 击 要 设置 的 用 户 账户 一 “属性 ”一 “ 拨 入 "选项 卡 , 打 
开 图 10-13, 在 “远程 访问 权限 ( 拨 入 或 VPN)" 区 域 选 中 “允许 访问 " 单 选 按钮 ,然后 单 击 
“确定 ”按钮 即 可 。 


2. 授予 本 地 用 户 远 程 访 问 的 权限 

要 授予 本 地 用 户 远程 访问 的 权限 ,操作 步骤 为 : 单 击 “ 开 始 " 一 "程序 "一 “管理 工 
具 ”- 盖 计算 机 管理 ”一 本 地 用 户 和 组 ”用 户 ”, 右 击 要 设置 的 用 户 账户 一 “属性 ?一 ”“ 拨 
入 ”选项 卡 , 打 开 图 10-14 ,在 “远程 访问 权限 ( 拨 入 或 VPN)” 区 域 选 中 “允许 访问 " 单 选 按 
钮 , 单 击 “确定 "按钮 即 可 。 


[SC 


mn 


a 
名 
a | 
一 


训 同 


一 -一 


图 10-13 ”授予 域 用 户 远程 访问 的 权限 图 10-14 授予 本 地 用 户 远程 访问 的 权限 
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10.3.3 设置 客户 端 


连接 到 Windows Server 2003 远程 访问 服务 器 上 的 拨号 客户 端 可 以 是 Windows 
Server 2003、Windows NT、Windows 2000、Windows XP 等 客户 端 。 这 些 客户 端 必须 安 
装 拨号 设备 (如 调制 解 调 器 ) ,配备 拨号 线路 (如 模拟 电话 线 或 其 他 WAN 连接 ) 。 

以 Windows Server 2003 为 例 ,设置 远程 访问 客户 端的 操作 步骤 如 下 。 

(1) 布 击 * 网 上 邻居 ”一 “属性 ”一 “创建 一 个 新 的 连接 ”, 出 现 “ 欢 迎 使 用 新 建 连接 向 
导 ” 对 话 框 , 单 击 “ 下 一 步 ” 按 钮 。 

(2) 在 图 10-15 中 ,选择 “连接 到 我 的 工作 场所 的 网 络 ” 单 选 按钮 , 单 击 “ 下 一 步 ” 


按钮 。 


网 络 连接 类 型 
您 想 做 什么 ? 


图 10-15 网 络 连接 类 型 


(3) 在 图 10-16 中 ,选择 “拨号 连接 ” 单 选 按 钮 , 单 击 “ 下 一 步 "按钮 。 


图 10-16 ”指定 如 何 与 网 络 连接 
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(4) 如 果 计 算 机 内 只 安装 了 一 个 调制 解 调 器 , 则 系统 会 自动 选择 此 调制 解 调 器 ,但 如 
果 安 装 了 多 个 调制 解 调 器 , 则 需 选 中 其 中 一 个 调制 解 调 器 前 面 的 复 选 框 ,如 图 10-17 所 
示 , 单 击 * 下 一 步 " 按 钮 。 


图 10-17 选择 用 来 建立 连接 的 设备 


(5) 在 图 10-18 中 ,输入 公司 名 ,例如 * 总 公司 信息 中 心 ”, 单 击 * 下 一 步 " 按 钮 。 


图 10-18 指定 连接 的 名 称 


(6) 在 图 10-19 中 ,输入 远程 访问 服务 器 的 电话 号 码 。 如 果 要 拨 外 地 的 远程 访问 服 
务 器 , 则 需 在 电话 号 码 前 加 区 号 ,例如 037163556635, 其 中 的 0371 代表 河南 郑州 , 单 击 
“下 一 步 ” 按 钮 。 

(7) 在 图 10-20 中 ,选择 “任何 人 使 用 ” 单 选 按 钮 表示 登录 到 这 台 计 算 机 的 所 有 用 户 
都 可 以 使 用 ,选择 “只 是 我 使 用 ” 单 选 按 钮 表示 只 有 建立 连接 的 用 户 才 可 以 使 用 。 

(8) 出 现 “ 完 成 新 建 连接 向 导 ” 对 话 框 时 , 单 击 “完成 ”按钮 即 可 。 

为 了 便于 访问 远程 服务 器 ,可 以 在 桌面 上 新 建 一 个 远程 连接 的 快捷 方式 。 客 户 端 用 
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可 用 连接 
| 您 可 使 此 新 连接 为 任何 用 户 所 用 或 羽 为 您 自己 所 用 。 


图 10-20 可 用 连接 


户 要 使 用 刚才 创建 的 拨号 连接 拨号 到 远程 访问 服务 器 ,可 以 通过 右 击 “网 上 邻居 ”, 在 弹出 
的 快捷 菜单 中 选择 “属性 ”选项 ,双击 创建 的 拨号 连接 的 快捷 方式 ,或 是 通过 桌面 上 的 快捷 
方式 ,打开 “登录 ”对 话 框 ,输入 连接 远程 访问 服务 器 的 用 户 名 与 密码 ,完成 后 单 击 “ 拨 号 ” 
按钮 即 可 。 


10.4 虚拟 专用 网 络 


越 来 越 多 的 企业 通过 接 入 Internet, 实 现 位 于 各 地 的 分 公司 的 内 部 网 络 互通 ,达到 信 
息 资源 的 共享 ,但 是 传输 的 这 些 数据 有 很 多 是 属于 内 部 机 密 , 因 此 有 必要 采取 一 些 措施 来 
保障 这 些 数据 的 安全 。 虚 拟 专用 网 络 (Virtual Private Network, VPN) 通 过 特定 的 加 密 
协议 ,使 位 于 不 同 地 方 的 多 个 内 部 网 之 间 利 用 现 有 公共 网 络 基础 架构 (例如 Internet) 通 
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10.4.1 VPN 的 工作 原理 


Windows Server 2003 服务 器 利用 自 带 的 VPN 服务 组 件 , 使 远程 用 户 通 过 Internet 
等 公共 网 络 与 某 个 局 域 网 之 间 建 立 一 条 安全 的 通信 隧道 。 


1. 两 种 VPN 通信 协议 


Windows Server 2003 服务 器 支持 以 下 两 种 VPN 通信 协议 。 

(1) 点 对 点 隧道 协议 (Point-to-Point Tunneling Protocol, PPTP)。PPTP 是 对 点 对 
点 协议 (PPP) 的 一 种 扩展 ,而 PPTP 隧道 实质 上 是 基于 IP 网 络 的 PPP 连接 。 两 个 局 域 
网 之 间 若 通过 PPTP 来 连接 , 则 两 个 局 域 网 的 VPN 服务 器 必须 安装 TCP/IP, 但 局 域 网 
内 的 其 他 计算 机 不 一 定 要 安装 TCP/IP, 可 以 安装 IPX 和 NetBEUI 等 通信 协议 。 当 位 于 
不 同 局 域 网 络 的 远程 计算 机 之 间 通 过 VPN 方式 通信 时 ,这 些 不 同 局 域 网 协议 的 数据 包 
将 被 封装 在 PPP 数据 包 内 ,然后 再 在 现 有 的 网 络 上 传送 , 当 数据 到 达 目 标 网 络 后 ,再 由 目 
标 网 络 内 的 VPN 服务 器 将 其 解除 封装 ,还 原 为 TCP/IP、IPX 和 NetBEUI 的 数据 包 。 

PPTP 采用 了 PPP 所 提供 的 身份 验证 、 压 缩 与 加 密 机 制 ,PPTP 随 TCP/IP 一 起 自动 
安装 。PPTP VPN 服务 利用 Microsoft 端 对 端 加 密 (Microsoft Point-to-Point Encryption， 
MPPE) 对 数据 进行 封装 与 加 密 。 

(2) 第 二 层 隧道 协议 (Layer Two Tunneling Protocol,L2TP)。L2TP 是 一 种 工业 标 
准 的 Internet 隧道 协议 ,功能 大 致 和 PPTP 协议 类 似 ,同样 可 以 对 数据 进行 加 密 。 不 同 之 
处 在 于 PPTP 要 求 网 络 为 IP 网 络 ,L2TP 要 求 面 向 数据 包 的 点 对 点 连接 ;PPTP 使 用 单一 
隧道 ,L2TP 使 用 多 隧道 ;L2TP 提供 包头 压缩 隧道 验证 ,而 PPTP 不 支持 。L2TP 与 
IPSec 的 结合 称 为 L2TP/IPSec; VPN 客户 端 与 VPN 服务 器 都 必须 支持 L2TP 和 IPSec。 


2. VPN 应 用 的 场合 


一 般 来 说 ,VPN 应 用 在 以 下 两 种 场合 。 

(1) 总 公司 的 网 络 已 经 连接 到 Internet, 在 外 地 出 差 的 员工 拨号 到 当地 的 ISP 接 入 到 
Internet, 然 后 通过 Internet 与 总 公司 的 VPN 服务 器 建立 PPTP 或 L2TP 的 VPN 连接 ， 
并 在 VPN 客户 端 与 总 公司 的 网 络 之 间 安 全 地 传输 数据 。 网 络 结构 如 图 10-21 所 示 。 

(2) 两 个 局 域 网 的 VPN 服务 器 都 连接 到 Internet, 两 个 局 域 网 内 的 计算 机 之 间 可 以 
建立 PPTP 或 L2TP 的 VPN 连接 ,实现 在 两 个 网 络 之 间 安 全 地 传输 数据 。 网 络 结 构 如 
图 10-22 所 示 。 


10.4.2 PPTP VPN 


以 图 10-23 所 示 的 网 络 结构 为 例 ,介绍 如 何 通 过 Internet 在 客户 端 与 公司 网 络 之 间 
建立 PPTP VPN 连接 。 在 Windows Server 2003 VPN 服务 器 上 安装 了 两 块 网 卡 , 一 块 
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VPN 客 户 端 
SS a VPN(PPTP 或 L2TP) 
< S Ss 客户 端 


i 了 总 公司 内 部 


ISP Intemet 一 | ISP 局 域 网 络 
Windows Server 2003 也 


VPN 服 务 器 
客户 端 


图 10-21 在 客户 端 与 总 公司 的 网 络 之 间 建 立 VPN 


到 只 


Ca VPN(PPTP 或 L2TP) 
客户 并 A eal 国 国 -= 一 = 一 -一 一 一 一 一 一 一 一 一 一 = 一 -一 一 一 客户 端 B 
甲 公司 内 部 
局 域 网 络 ， ISP a , ISP Ry 
NS Windows Server 2003 Windows Server 2003 
VPN 服 务 器 VPN 服 务 器 


图 10-22 在 两 个 局 域 网 之 间 建 立 VPN 


网 卡 作为 内 部 局 域 网 接口 ETH1, 另 一 块 网 卡 作为 连接 ADSL Modem 的 Internet 接口 
ETH0。 远 程 的 VPN 客户 端 也 通过 ADSL Modem 接 入 到 Internet。 


Windows Server 2003 
VPN 服 务 器 pe 
客户 端 


公司 内 部 
局 域 网 络 


ETH0: 外 网 网 卡 | ETH1: 内 网 网 卡 地 
59.70.142.248 192.168.10.1 < 


客户 端 


i 

Intemet 

ADSL 制 解 调 器 ADSL 调 制 解 调 器 
10-23 ”通过 PPTP 建立 的 VPN 连接 


1. VPN 服务 器 的 安装 


在 Windows Server 2003 服务 器 上 ,安装 VPN 服务 的 操作 步骤 如 下 。 

(1) 打开 * 路 由 和 远程 访问 ”控制 台 , 右 击 *SERVER01 服务 器 ”, 选 择 * 配 置 并 启用 路 
由 和 远程 访问 ”。 在 “欢迎 使 用 路 由 和 远程 访问 服务 器 安装 向 导 ? 对 话 框 中 , 单 击 * 下 一 步 ” 
按钮 。 
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(2) 在 图 10-24 中 ,选择 “远程 访问 (拨号 或 VPN)" 单 选 按钮 , 单 击 “ 下 一 步 "按钮 。 


路 由 和 运程 访问 服务 器 安装 痛 导 


图 10-24 选择 VPN 的 配置 组 合 


(3) 在 图 10-25 中 ,配置 此 服务 器 是 接受 拨号 连接 还 是 VPN 连接 ,在 此 选择 VPN 复 
选 框 , 单 击 “ 下 一 步 " 按 钮 。 


图 10-25 配置 拨号 连接 或 VPN 连接 


(4) 在 图 10-26 中 ,选择 用 来 连接 Internet 的 网 络 接口 .在 此 选择 外 部 网 卡 ETHO 接 
口 , 其 卫 地 址 为 59. 70. 142. 248。 可 以 设置 静态 数据 包 筛 选 器 保护 接口 , 单 击 * 下 一 步 
按钮 。 

(5) 在 图 10-27 中 ,有 两 种 选择 。 
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图 10-26 选择 连接 Internet 的 网 络 接口 


@ 自动 。 由 VPN 服务 器 向 DHCP 服务 器 请 求 IP 地 址 ,然后 再 指派 给 客户 端 。 若 
无 法 从 DHCP 服务 器 获取 IP 地 址 , 则 自动 指派 169. 254. X. XX 的 IP 地 址 给 客户 端 。 

@ 来 自 一 个 指定 的 地 址 范围 。 给 VPN 客户 端 分 配 一 个 指定 的 地 址 范围 的 IP 地 址 。 
在 此 选择 “来 自 一 个 指定 的 地 址 范围 ? 单 选 按钮 , 单 击 * 下 一 步 "按钮 。 


图 10-27 指定 为 客户 端 指派 IP 地 址 的 方法 


(6) 在 图 10-28 中 ,输入 起 始 IP 地 址 和 结束 IP 地 址 ,这 段 地 址 要 和 VPN 服务 器 的 局 
域 网 接口 的 IP 地 址 有 相同 的 网 络 ID, 单 击 “ 确 定 ” 按 钮 。 
在 图 10-29 中 , 单 击 “ 下 一 步 ?按钮 。 
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新 建 地 址 范围 


192 -168- 10 - 10 


CE ww | 


10-28 指定 起 始 IP 地 址 和 结束 IP 地 址 


路 由 和 运程 访问 最 务 器 安装 向导 


地 址 范围 指定 
悠 可 以 指定 此 服务 器 用 来 对 远程 客户 请 指派 地 址 的 地 址 范围 . 


图 10-29 地 址 范围 指定 


(7) 在 图 10-30 中 ,选择 VPN 客户 端 连接 请 求 身份 验证 的 方式 。 

@“ 香 ,使 用 路 由 和 远程 访问 来 对 连接 请 求 进行 身份 验证 ” 单 选 按钮 客户 端 请 求 使 用 
路 由 和 远程 访问 来 对 连接 请 求 进行 身份 验证 。 

回 “是 ,设置 此 服务 器 与 RADIUS 服务 器 一 起 工作 ” 单 选 按钮 网 络 中 必须 有 一 台 
RADIUS 服务 器 ,由 RADIUS 服务 器 负责 VPN 客户 端 身份 验证 请 求 。 

在 此 选择 “ 否 , 使 用 路 由 和 远程 访问 来 对 连接 请 求 进行 身份 验证 ” 单 选 按 钮 , 单 击 “下 
一 步 "按钮 。 

(8) 在 “完成 路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 中 , 单 击 “ 完 成 按钮。 在 图 10-31 
中 , 单 击 “ 确 定 ” 按 钮 , 即 可 完成 远程 访问 服务 器 的 安装 。 

若 要 将 远程 访问 客户 端的 DHCP 消息 转发 到 其 他 网 络 内 的 DHCP 服务 器 ,请 通过 
“IP 路 由 选择 ”>“DHCP 中 继 代理 程序 ?进行 设置 。 

系统 默认 会 自动 建立 128 个 PPTP 端口 与 128 个 L2TP 端口 ,每 一 个 端口 可 供 一 个 
VPN 客户 端 来 连接 ,如 图 10-32 所 示 。 
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路 由 和 运程 访问 服务 器 安装 育 导 


管理 多 个 运程 访问 服务 器 [四 证 
二 ， 或 者 转发 到 有 远程 身份 验证 拨号 用 户 服 


图 10-30 选择 VPN 客户 端 连接 请 求 身份 验证 的 方式 


路 由 和 运程 访问 


图 10-32 路 由 和 远程 访问 的 端口 


若 要 更 改 VPN 端口 的 数量 ,操作 步骤 为 : 右 击 如 图 15-32 所 示 的 “端口 ”>“ 属 性 ”， 
在 图 10-33 中 ,选择 “WAN 微型 端口 (PPTP)” 或 “WAN 微型 端口 (L2TP)” 后 , 单 击 “ 配 
置 ?按钮 进行 修改 。 
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配置 设备 一 WAN 祝 型 端口 (PPTP) 


图 10-33 更 改 VPN 端口 的 数量 


2. 在 VPN 客户 端 建立 VPN 拨号 连接 


若 客 户 端 计算 机 已 经 通过 ADSL 建立 了 到 Internet 的 连接 (假设 连接 名 为 hanet) 。 
客户 端 要 访问 VPN 服务 器 ,在 VPN 服务 器 上 必须 为 VPN 客户 端 设置 拨 入 权限 ,另外 还 
要 新 建 一 个 VPN 客户 端 连接 。 

以 Windows Server 2003 客户 端 为 例 ,建立 VPN 客户 端 连 接 的 操作 步骤 如 下 。 

(1) 碳 击 “网 上 邻居 ”属性 ”创建 一 个 新 的 连接 ”， 出 现 * 欢 迎 使 用 新 建 连接 向 
导 ” 对 话 框 时 , 单 击 “ 下 一 步 "按钮 。 

(2) 在 图 10-34 中 ,选择 “连接 到 我 的 工作 场所 的 网 络 ” 单 选 按钮 , 单 击 “ 下 一 步 ” 
按钮 。 


图 10-34 网 络 连 接 类 型 
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图 10-35 指定 建立 网 络 连接 的 方式 


(4) 在 图 10-36 中 ,输入 公司 名 ,例如 总 公司 信息 中 心 , 单 击 * 下 一 步 " 按 钮 。 


图 10-36 ”指定 连接 名 称 


(5) 在 图 10-37 中 ,有 两 种 选择 ,在 此 选择 “自动 拨 此 初始 连接 ” 单 选 按钮 ,并 选择 客 
户 端 利 用 ADSL 调制 解 调 器 与 ISP 建立 的 连接 名 称 , 单 击 “下 一 步 ? 按 钮 。 

提示 : 如 果 使 用 的 是 一 直 在 线 的 宽带 网 络 而 不 是 通过 ADSL 调制 解 调 器 接 人 
Internet, 在 建立 VPN 客户 端 连接 时 , 则 不 会 出 现 此 步骤 ,其 他 步骤 相同 。 

(6) 在 图 10-38 中 ,输入 VPN 服务 器 的 主机 名 或 IP 地 址 ,在 此 输入 IP 地 址 59. 70. 
142. 248, 单 击 “ 下 一 步 ”按钮 。 

(7) 在 图 10-39 中 ,设置 此 连接 是 供 任何 人 使 用 还 是 只 有 建立 此 连接 的 用 户 才 可 以 
使 用 。 在 此 选择 “任何 人 使 用 ” 单 选 按钮 , 单 击 “ 下 一 步 ? 按 钮 。 


192 


可 用 连接 
您 可 使 此 新 连接 为 任何 用 户 所 用 或 羽 为 您 自己 所 用 。 


图 10-39 可 用 连接 
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(8) 在 “完成 新 建 连接 向 导 ” 对 话 框 中 , 单 击 “ 完 成 ”按钮 即 可 完成 VPN 客户 端的 
配置 。 

在 确保 客户 端 已 经 通过 ADSL 连接 到 Internet 之 后 ,用 户 可 以 通过 右 击 “网 上 邻 
居 ” 一 “属性 ”一 双击 创建 的 虚拟 专用 网 络 连接 ,打开 “登录 ”对 话 框 ,输入 用 来 连接 远程 访 
问 服务 器 的 用 户 名 与 密码 后 , 单 击 “ 连 接 ” 即 可 连接 到 VPN 服务 器 。 

在 VPN 服务 器 上 可 以 检查 VPN 服务 器 的 使 用 情况 ,如 图 10-40 所 示 , 有 个 PPTP 的 
VPN 连接 状态 为 “活动 ”, 说 明 已 经 有 VPN 客户 端 通过 PPTP 连接 到 VPN 服务 器 。 

路 由 和 运程 访问 


文件 四 换 作 人 查看 轨 。 各 助 0 
所 水 | 哲 | 四 | 四 图 | 区 


稍 口 
远程 访问 客户 端 (1) 
局 具 理 路 由 选择 

常规 


静态 路 由 Ce 
DHCP 中 继 代 理 程序 
TIGIP 

由 车 远程 访问 第 略 

由 ' 铝 远程 访问 记录 


图 10-40 活动 的 VPN 连接 
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第 11 章 路 由 与 NAT 


学 习 目标 

学 习 完 本 章 后 ,了 解 Windows Server 2003 路 由 、 网 络 地 址 转换 (Network Address 
Translation,NAT) 的 工作 原理 ,掌握 Windows Server 2003 路 由 .NAT 及 数据 包 簿 选 器 
的 配置 方法 ,并 掌握 静态 路 由 和 RIP 动态 路 由 协议 的 应 用 。 


11.1 路 由 器 的 工作 原理 


路 由 器 是 一 种 连接 多 个 网 络 或 网 段 的 设备 ,并 在 这 些 网 络 或 网 段 之 间 转 发 数据 包 。 
路 由 器 可 以 是 专用 的 硬件 路 由 器 ,例如 Cisco、 华 为 路 由 器 ,也 可 以 是 启用 了 “路 由 和 远程 
访问 ”服务 的 Windows Server 2003 软 路 由 器 。 

在 图 11-1 所 示 的 网 络 中 ,甲乙 、 丙 3 个 网 络 利 用 两 台 Windows Server 2003 软 路 由 
器 来 连接 ,以 3 个 不 同 的 私有 IP 地 址 段 来 代表 3 个 不 同 的 网 络 。 假 设 甲 网 络 内 的 客户 端 
A 要 与 乙 网 络 内 的 客户 端 丰 通信 ,客户 端 A 会 将 数据 传送 到 路 由 器 A, 然 后 路 由 器 A 会 
将 其 转发 给 路 由 器 B, 最 后 再 由 路 由 器 B 负责 将 其 传送 给 乙 网 络 内 的 客户 端正 。 


JP : 192.168.20.253 


子 网 捷 码 : 255.255.255.0 IP: 192.168.30.254 
客户 端 A WE 子 网 捷 码 : 255.255.255.0 
IP: 192.168.10.10 2003 路 由 器 A p 客席 本 
子 网 掩 码 : 255.255.255.0 ,192.168.30. 


ge 子 网 描 码 : 255.255.255.0 
网 关 : 192.168.10.254 网 关 ，192.168.30.254 


甲 网 络 a 0 
客 IP: 192.168.20.254 De " ~ 


IP: 192.168.10.11 子 网 掩 码 : 255.255.255.0 客户 端 F 


子 网 掩 码 : 255.255.255.0 5 
IP ，192.168.10.254 IP: 192.168.30.11 


网 关 : 192.168.10.254 二 子 网 掩 码 ，255.255.255.0 
子 网 掩 码 : “SS 再 网 络 此 J 2 


客户 端 C 客户 端 D 
IP: 192.168.20.10 IP: 192.168.20.11 


图 11-1 利用 两 台 软 路 由 器 来 连接 甲乙 、 丙 3 个 网 络 
根据 数据 包 目 标 地址 的 不 同 ,发送 主机 必须 决定 是 将 数据 发 送 给 目标 主机 还 是 转发 


给 路 由 器 。 当 发 送 主机 转发 数据 时 ,就 会 使 用 主机 路 由 。 当 路 由 器 接收 到 需要 转发 的 报 
文 时 ,就 会 使 用 路 由 器 的 路 由 ,如 图 11-2 所 示 。 
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路 由 器 路 由 


Windows Server Windows Server pp 
NSS 器 A 2003 路 由 器 < 
主机 路 由 


B 
三 三 A 目标 主机 E 
= = 


甲 网 络 记 二 , 乙 网 络 
SE » 


目标 主机 B i 


此 再 网 络 ~ 


客户 端 C 客户 端 D 
图 11-2 主机 路 由 和 路 由 器 路 由 


11.1.1 主机 路 由 表 


执行 route print 命令 
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在 安装 了 可 路 由 协议 (例如 TCP/IP) 的 计算 机 (例如 源 主机 A) 上 ,在 命令 提示 符 下 ， 
就 可 以 得 到 该 主机 的 路 由 表 , 如 图 11-3 所 示 。 


EECTTSRERTEEE 


58 .18.198 
TT 


图 11-3 主机 的 路 由 表 
其 中 : 
(1) Network Destination 即 目 标 网 络 地 址 ,可 以 是 一 个 网 络 或 是 一 个 IP 地 址 ， 
(2) Netmask 即 网 络 掩 码 或 子 网 掩 码 。 
(3) Gateway 即 网 关 , 如 果 目 标 计 算 机 的 IP 地 址 与 Netmask 执行 逻辑 与 (AND) 运 


路 由 与 NAT 


算 后 的 结果 ,等 于 Network Destination 处 的 值 , 就 会 将 数据 转发 给 Gateway 处 理 。 如 果 
Gateway 处 的 IP 地 址 又 等 于 源 主机 A 自己 的 IP 地 址 ,就 会 将 数据 直接 传送 给 目标 计算 
机 ,这 时 说 明 源 主机 和 目标 主机 在 同一 个 网 络 ( 具 有 相同 的 网 络 ID)。 例 如 , 源 主机 A 和 
目标 主机 B 通信 时 就 是 这 样 。 

(4) Interface 即 接口 ,表示 数据 是 从 计算 机 A 的 这 个 IP 地 址 转发 。 

(5) Metric 即 度量 值 ,表示 通过 此 路 由 来 转发 数据 的 成 本 ,Metric 值 越 小 ,路 由 越 好 。 
通常 使 用 链 路 的 带宽 延迟 、 负 载 可 靠 性 、 从 源 到 目标 数据 包 要 经 过 的 跳 数 (hop) 等 因素 
来 衡量 路 由 的 好 坏 。 

以 下 解释 图 16-3 中 的 每 一 行 信息 的 含义 。 

第 一 行 代表 “默认 路 由 ”, 当 计算 机 A 要 发 送 数据 包 时 ,如 果 在 其 路 由 表 内 找 不 到 其 
他 可 以 用 来 转发 此 数据 包 的 路 由 ,该 数据 包 就 会 通过 默认 路 由 来 转发 ,也 就 是 说 数据 包 将 
从 IP 地 址 为 192. 168. 10. 10 的 Interface 送出 ,然后 传送 给 IP 地 址 为 192. 168. 10. 254 的 
Gateway。 

第 二 行 代表 “ 环 回 路 由 ”, 当 计算 机 A 要 传送 数据 包 到 类 似 于 127. x. y. z 的 IP 地址 
时 ,这 些 数据 包 都 将 从 IP 地 址 为 127. 0. 0. 1 的 Interface 送出 ,然后 传送 到 IP 地 址 为 
127.0.0.1 的 Gateway。127.0.0.1 是 计算 机 的 回环 地 址 。 

第 三 行 代表 “ 直 连 路 由 ”, 当 计算 机 A 要 传送 数据 包 给 192. 168. 10. 0 这 个 网 络 的 计 
算 机 时 ,该 数据 包 都 将 从 IP 地 址 为 192. 168. 10. 10 的 Interface 送出 ,而 在 Gateway 处 的 
IP 地 址 192. 168. 10. 10 为 计算 机 A 自己 的 IP 地 址 ,表示 将 数据 包 直 接 传送 给 目标 地 址 。 

第 四 行 代表 “主机 路 由 ”, 当 计 算 机 A 要 传送 数据 包 到 192. 168. 10. 10( 计 算 机 A 自 
己 ) 时 ,该 数据 包 将 从 IP 地 址 为 127. 0.0.1 的 Interface 送出 ,然后 传送 到 IP 地 址 为 127. 
0.0. 1 的 Gateway。127.0.0.1 是 计算 机 的 回环 地 址 。 

第 五 行 代表 “ 子 网 广播 路 由 ”, 当 计算 机 A 要 传送 数据 包 给 192. 168. 10. 255 时 ,该 数 
据 包 将 从 IP 地 址 为 192. 168. 10. 10 的 Interface 送出 ,而 在 Gateway 处 的 IP 地 址 192. 
168. 10. 10 为 计算 机 A 自己 的 IP 地 址 ,表示 将 数据 包 将 直接 传送 给 目标 地 址 。 

第 六 行 代表 “多 播 路 由 ”, 当 计算 机 A 要 发 送 多 播 数据 包 时 ,该 数据 包 将 通过 IP 地 址 
为 192. 168. 10. 10 的 Interface 送出 ,而 在 Gateway 处 的 IP 地 址 192. 168. 10. 10 为 计算 
机 A 自己 的 IP 地 址 ,表示 数据 包 将 直接 传送 给 目标 地 址 。 

第 七 行 代 表 “ 有 限 的 广播 路 由 ”, 当 计算 机 A 要 传送 广播 数据 包 到 255. 255. 255. 255 
时 ,该 数据 包 将 通过 IP 地 址 为 192. 168. 10. 10 的 Interface 送出 ,而 在 Gateway 处 的 IP 
地 址 192. 168. 10. 10 为 计算 机 A 自己 的 IP 地 址 ,表示 数据 包 将 直接 传送 给 目的 地 址 。 


11.1.2 路 由 器 路 由 表 


在 路 由 器 A 的 命令 提示 符 下 ,执行 route print 命令 可 以 显示 路 由 器 A 的 路 由 表 , 如 
图 11-4 所 了 示 。 因 该 路 由 表 与 主机 路 由 表 类 似 , 在 此 仅 对 度量 (Metric) 值 做 部 分 说 明 。 

路 由 器 有 多 个 接口 ,因此 会 有 多 个 默认 路 由 。 如 果 路 由 器 通过 默认 路 由 来 传送 数据 
包 , 路 由 器 会 选择 子 网 掩 码 长 度 最 长 ( 即 二 进 制 位 为 1 的 数目 最 多 ) 的 路 由 作为 最 佳 路 由 。 
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图 11-4 路 由 器 A 的 路 由 表 


若 默 认 路 由 的 子 网 掩 码 都 是 0. 0.0.0, 此 时 要 由 路 由 表 中 的 Metric 值 来 决定 最 佳 路 径 。 
Metric 即 度量 值 ,表示 通过 此 路 由 来 转发 数据 的 成 本 ,Metric 值 越 小 ,路 由 越 好 。 通 

常 使 用 链 路 的 带宽 延迟 .负载 .可 靠 性 .从 源 到 目标 数据 包 要 经 过 的 跳 数 (hop) 等 因素 来 

衡量 路 由 的 好 坏 。 若 使 用 RIP 路 由 协议 ， I 

Metric 的 值 就 取决 于 从 源 到 达 目 的 需要 经 nw] Ws RAR | 

过 的 跳 数 。 如 果 源 和 目标 在 同一 网 络 内 ， [ 亚 地 址 四 一 


则 算 1 跳 , 之 后 每 经 过 一 个 路 由 器 加 1 跳 。 oo ee 

路 由 器 会 优先 使 用 成 本 最 低 的 路 由 ,也 就 

是 Metric 值 最 小 的 路 由 ,如 果 Metric 值 相 添加 (). .| 编辑 外 ) 删除 

同 , 则 路 由 器 会 从 中 随机 挑选 一 个 路 由 。 MRD 一 = 
默认 情况 下 ,每 一 个 网 络 接口 都 会 依 [| es 

据 接口 的 连接 速度 自动 计算 Metric 值 , 也 

可 以 手动 设置 接口 的 Metric 值 。 要 手动 添加 @) .| 编 各 [I ET 

设置 接口 的 Metric 值 ,操作 步骤 (以 路 由 IE 

器 A 为 例 ) 如 下 。 ho | 


单 击 “开始 ”一 "控制 面板 "网络 连 
接 ”" 一 “属性 ”一 “高 级 ”, 取 消 选中 “自动 跃 
点 计数 ” 复 选 框 ,并 在 “接口 跃 点 数 ” 处 输入 
Metric 值 , 如 图 11-5 所 示 。 图 11-5 手动 设置 接口 的 Metric 值 

当 一 个 网 络 接 口 设置 了 多 个 网 关 时 ， 
系统 会 优先 选用 度量 值 最 低 的 网 关 。 若 未 单独 设置 每 一 个 网 关 的 度量 , 则 所 有 网 关 的 度 
量 值 都 会 继承 网 络 接口 的 度量 设置 值 。 
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11.2 配置 Windows 路 由 


甲乙 、 丙 3 个 网 络 利 用 两 台 Windows Server 2003 路 由 器 来 连接 ,以 3 个 不 同 的 私 
有 IP 地 址 段 来 代表 3 个 不 同 的 网 络 ,如 图 11-6 所 示 。 


IP: 192.168.20.253 


子 网 掩 码 : 255.255.255.0 2 
码 : 255.255.255.0 
客户 端 A Windows Server 子 网 ys 
4 拉克 2552552 2 IP: 192.168.30.10 


子 网 掩 码 : 255.255.255.0 子 网 掩 码 : 255.255.255.0 


Zn 网 关 ，192.168.30.254 


Windows Server 
客户 端 B IP: 192.168.20.254 2003 路 由 器 B 
IP: 192.168.10.11 子 网 按 码 : 255.255.255.0 客户 端 F 
子 网 擅 码 : 255.255.255.0 IP; 192.168.30.11 
IP: 192.168.10.254 子 网 捧 码 ，255.255.255.0 


网 关 : 192.168.10.254 a 
子 网 擅 码 : "SS r 此 网 关 : 192.168.30.254 


客户 端 C 客户 端 D 
JP: 192.168.20.10 IP: 192.168.20.11 


图 11-6 通过 路 由 器 A、B 连接 甲 . 乙 、 丙 3 个 网 络 


网 关 : 192.168.10.254 EE 更 
~ 


11.2.1 启动 路 由 器 


通过 启用 “路 由 和 远程 访问 ”服务 来 启动 路 由 器 。 
安装 .配置 Windows 路 由 器 的 操作 步骤 如 下 。 
(1) 在 路 由 器 A 上 ,打开 “路 由 和 远程 访问 "控制 台 , 右 击 服务 器 SERVER01( 本 地 )， 


选择 “配置 并 启用 路 由 和 远程 访问 ”选项 ,如 图 11-7 所 示 。 


路 由 和 运程 访问 


问 ， 在 “操作 ”菜单 上 单 击 “ 配 置 并 启 


访问 ， 部 署 方案 ， 以 及 疑难 解答 的 更 多 


图 11-7 配置 并 启用 路 由 和 远程 访问 


(2) 在 “欢迎 使 用 路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 中 单 击 “ 下 一 步 ”按钮 ,在 
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图 11-8 选择 路 由 和 远程 访问 的 配置 组 合 
(3) 在 图 11-9 中 选择 “ 否 ” 单 选 按钮 , 单 击 “ 下 一 步 ”按钮 。 


路 由 和 远程 访问 


图 11-9 ”指定 是 否 使 用 请 求 拨号 连接 


(4) 出 现 “ 完 成 路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 时 , 单 击 "完成 ”按钮 即 可 。 
在 路 由 器 了 上 ,用 同样 的 步骤 完成 上 述 配 置 。 
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11.2.2 检查 路 由 表 


路 由 器 A 安装 ,设置 完成 后 ,在 命令 提示 符 下 ,执行 route print 命令 即 可 查看 路 由 
表 。 或 是 在 “路 由 和 远程 访问 ”控制 台中 右 击 “ 静 态 路 由 ”, 在 弹出 的 快捷 菜单 中 选择 “显示 
IP 路 由 表 ” 选 项 ,如 图 11-10 所 示 。 


图 11-10 显示 IP 路 由 表 


由 图 11-11 可 以 看 出 ,与 路 由 器 A 直 连 的 两 个 网 络 已 经 自动 建立 在 路 由 器 A 的 路 由 
表 内 。 路 由 器 B 的 IP 路 由 表 有 类 似 的 输出 。 


Er 


255 
0 
0 
255 
255 
0 
0 
255 
255 
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0 
255 
255. 
255. 
255. 
255. 
255 
255. 
255. 
255. 
0 

0 
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时 村 二 本 本 和 二 村 所 
S9599"955"SS8" "5 
二 归于 是 二 二 时 二 
-BSSBS~SSS"-""BS 


Ee 
EE 
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EE 


图 11-11 路 由 器 A 的 IP 路 由 表 


在 图 11-11 中 ,“ 通 信 协 议 ” 字 段 说 明了 此 路 由 产生 的 来 源 。 

(1) 若是 通过 “路 由 与 远程 访问 ”控制 台 手 工 建立 的 路 由 , 则 为 静态 。 

(2) 若是 利用 route add 命令 或 是 在 “本 地 连接 ”的 TCP/IP 中 设置 的 , 则 为 网 络 
管理 。 

(3) 若是 利用 RIP 或 OSPF 协议 从 其 他 路 由 器 学 习 来 的 , 则 为 RIP 或 OSPF。 

(4) 若是 通过 “路 由 和 远程 访问 "建立 过 程 中 上 默认 建立 的 路 由 , 则 为 本 地 。 
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11.2.3 添加 静态 路 由 


可 以 通过 “路 由 和 远程 访问 ”控制 台 添 加 静态 路 由 ,来 实现 数据 的 快速 转发 ,静态 路 由 
经 常 使 用 在 一 些 中 、 小 型 的 网 络 中 。 

打开 路 由 器 A 的 “路 由 和 远程 访问 ?控制 台 , 右 击 * 静 态 路 由 ”, 选 择 * 新 建 静态 路 由 ”， 
然后 在 弹出 的 “静态 路 由 ”对 话 框 中 输入 新 路 由 ,如 图 11-12 所 示 ,表示 传送 给 192. 168. 
30.0 网 络 的 数据 包 , 将 通过 “网 段 丙 ”的 网 络 接口 ( 即 IP 地 址 为 192. 168. 20. 254 的 网 卡 ) 
送出 ,并 且 会 传 给 IP 地 址 为 192. 168. 20. 253 的 路 由 器 接口 (网 关 ), 路 由 器 的 跃 点 数 
涛 1 


11-12 新 建 静 态 路 由 
右 击 “静态 路 由 ”一 “显示 IP 路 由 表 ”, 可 以 查看 新 建 的 静态 路 由 ,如 图 11-13 所 示 。 


11-13 查看 新 建 的 静态 路 由 


在 路 由 器 B 上 ,用 类 似 的 方法 ,添加 到 192. 168. 10. 0 的 静态 路 由 ,通过 “网 段 丙 ?的 
网 络 接口 (也 就 是 IP 地 址 为 192. 168. 20. 253 的 网 卡 ) 送 出 ,并 且 会 传 给 IP 地 址 为 192. 
168. 20. 254 的 路 由 器 接口 (网 关 ) ,路 由 器 的 跃 点 数 为 1 。 

通过 上 述 配置 ,路 由 器 A、 路 由 器 B 上 已 配置 静态 路 由 , 即 可 实现 甲乙 、 丙 网 络 之 间 
的 互通 。 
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11.3 ”数据 包 筛 选 器 


Windows Server 2003 路 由 器 中 具有 两 种 筛选 器 : 请 求 拨号 筛选 器 和 数据 包 筛 选 器 。 
它们 的 配置 方式 是 一 样 的 ,但 是 作用 不 同 , 针 对 的 接口 也 不 同 。 

(1) 请 求 拨号 筛选 器 。 只 针对 请 求 拨号 接口 。 当 路 由 器 接收 到 匹配 某 个 请 求 拨号 接 
口 所 设置 的 请 求 拨号 筛选 器 的 IP 数据 包 时 ,会 自动 初始 化 请 求 拨号 连接 ,从 而 转发 数 
据 包 。 

(2) 数据 包 筛 选 器 。 分 为 和 站 筛选 器 和 出 站 筛选 器 ,分 别 对 应 收 到 的 数据 包 和 发 出 
的 数据 包 。 可 以 对 任何 一 个 物理 接口 配置 数据 包 筛 选 器 ,以 允许 或 拒绝 除 针 对 特定 地 址 、 
端口 和 协议 的 通信 ,提高 网 络 的 安全 性 和 灵活 性 。 

假设 有 甲 、. 乙 `\ 丙 3 个 网 络 通过 路 由 器 A 连接 ,如 图 11-14 所 示 。 为 了 提高 各 个 网 段 
之 间 的 安全 ,可 以 在 路 由 器 的 每 一 个 网 络 接口 上 设置 数据 包 的 过 滤 。 


吧 Windows Server ey 
(Gg 2003 路 由 器 A < 


客户 端 


网 段 1 网 段 2 
2 
甲 网 络 ID 192.168.10.1 192.168.20.1 己 网 络 ID 
电 192.168.10.0 192.168.20.0 yp 
网 段 3 < 

客户 端 192.168.30.1 客户 端 

再 网 络 ID 

192.168,30.0 

客户 端 客户 端 


图 11-14 甲乙 \ 丙 3 个 网 络 通过 路 由 器 A 连接 


(1) 可 以 通过 “和 站 筛选 器 ?来 设置 让 路 由 器 的 网 络 接口 “网 段 1 拒绝 接受 由 甲 网 络 
内 的 计算 机 发 送 的 ICMP 数据 包 , 因 此 甲 网 络 内 的 计算 机 将 无 法 利用 ping 命令 来 与 乙 、 
丙 两 个 网 络 内 的 计算 机 通信 。 

(2) 可 以 通过 “出 站 筛选 器 ?设置 让 路 由 器 的 网 络 接口 “网 段 2 拒绝 发 送 与 终端 服务 
有 关 的 数据 包 , 因 此 甲 ` 丙 两 个 网 络 内 的 计算 机 将 无 法 与 乙 网 络 内 的 终端 服务 器 通信 。 

要 配置 数据 包 筛选 器 ,操作 步骤 如 下 。 

(1) 在 “路 由 和 远程 访问 "管理 控制 台中 ,展开 服务 器 ,然后 展开 “IP 路 由 选择 ”, 选 择 
“常规 ”, 右 击 对 应 的 接口 名 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 ,如 图 11-15 所 示 。 

(2) 在 图 11-16 中 , 单 击 “ 和 站 筛选 器 ?按钮 和 "出 站 筛选 器 ”按钮 分 别 进行 设置 。 
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图 11-16 “网 段 1” 接 口 的 属性 对 话 框 


11.3.1 入 站 筛选 器 


要 设置 接口 “网 段 1 的 人 站 筛选 器 ,配置 甲 网 络 内 的 计算 机 主动 送出 的 ICMP 数据 
包 被 拒绝 ,操作 步骤 如 下 。 

在 图 11-16 所 示 的 对 话 框 中 , 单 击 “ 和 人 站 筛选 器 ?对 话 框 ,在 和 人 站 筛选 器 的 操作 对 话 框 
中 ,有 以 下 两 个 选项 。 

(1) 接收 所 有 除 符合 下 列 条 件 以 外 的 数据 包 。 当 接收 到 的 数据 包 匹 配 下 面 所 设置 的 
筛选 器 时 ,丢弃 此 数据 包 , 人 允许 所 有 不 匹配 筛选 器 设置 的 数据 包 。 

(2) 丢弃 所 有 的 包 ,满足 下 面条 件 的 除外 。 当 接收 到 的 数据 包 匹 配 下 面 所 设置 的 得 
选 器 时 ,人 允许 此 数据 包 , 丢 弃 所 有 不 匹配 筛选 器 设置 的 数据 包 。 
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根据 设置 筛选 的 要 求 , 凡 是 从 甲 网 络 进 入 网 络 接口 “网 段 1” 的 ICMP 数据 包 , 无 论 其 
目标 地 址 为 何 ,都 一 律 拒绝 接收 。 单 击 * 新 建 ?按钮 ,定义 源 网 络 为 192. 168. 10.0, 掩 码 为 
255. 255. 255. 0, 目 标 网 络 不 需 定义 , 即 代 表 所 有 的 目标 地 址 。 协 议 为 ICMP, 类 型 为 8, 代 
码 为 0, 如 图 11-17 所 示 。 


上 上 


图 11-17 接口 “网 段 1" 的 入 站 筛选 器 
单 击 “ 确 定 ” 按 钮 , 即 可 完成 “入 站 筛选 器 ”的 设置 ,如 图 11-18 所 示 。 


图 11-18 入 站 筛选 器 


11.3.2 出 站 筛选 器 


要 设置 接口 “网 段 2 的 出 站 筛选 器 ,配置 甲 \ 丙 两 个 网 络 内 的 计算 机 不 能 与 乙 网 络 内 
的 终端 机 服务 器 通信 ,操作 步骤 如 下 。 
在 “路 由 和 远程 访问 ”管理 控制 台中 ,展开 服务 器 ,然后 展开 “IP 路 由 选择 ” ,选择 “ 常 
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规 ”, 右 击 接口 “网 段 2”, 选 择 * 属 性 ”, 在 接口 属性 对 话 框 的 “常规 选项 卡 中 , 单 击 “ 出 站 得 
选 器 ” ,在 “筛选 器 操作 ?下 选择 “接收 所 有 除 符 合 下 列 条 件 以 外 的 数据 包 ? 单 选 按钮 。 

根据 筛选 规则 ,路 由 器 的 网 络 接口 “网 段 2” 不 发 送 与 终端 服务 有 关 的 数据 包 ,因此 
甲 . 丙 两 个 网 络 内 的 计算 机 将 无 法 利用 远程 桌面 来 连接 乙 网 络 内 的 终端 服务 器 或 支持 远 
程 桌面 的 计算 机 。 终 端 服务 器 与 远程 桌面 所 支持 的 通信 协议 为 TCP, 连 接 端口 号 为 
3389。 单 击 “ 新 建 " 按 钮 , 源 网 络 不 需 定义 , 即 代表 所 有 的 源 地 址 ,目标 网 络 为 192. 168. 
20.0, 掩 码 为 255. 255. 255. 0, 源 端口 不 用 定义 ( 值 为 0), 目 标 端口 为 3389, 如 图 11-19 
所 示 。 


图 11-19 接口 “网 段 2 的 出 站 筛选 器 


单 击 “确定 ”按钮 , 即 可 完成 “出 站 筛选 器 ?的 设置 ,如 图 11-20 所 示 。 


图 11-20 出 站 筛选 器 


在 定义 源 网 络 和 目标 网 络 时 ,需要 注意 两 点 。 
(1) 定义 某 个 IP 地 址 时 ,使 用 子 网 掩 码 255. 255. 255. 255( 主 机 掩 码 ) 。 例 如 ,定义 源 
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网 络 为 IP 地址 192. 168. 10. 1, 子 网 掩 码 为 255. 255. 255. 255 。 
(2) 定义 某 个 网 络 时 ,在 子 网 掩 码 为 0 的 位 设置 IP 地 址 对 应 位 为 0。 例 如 ,要 定义 网 
络 192. 168. 10. 0/24 ,在 IP 地 址 处 输入 192. 168. 10.0, 子 网 掩 码 为 255. 255. 255. 0。 


11.3.3 通信 协议 与 端口 号 


在 配置 路 由 器 的 筛选 规则 时 ,除了 源 网 络 .目标 网 络 外 ,通信 协议 和 源 端 口 . 目 标 端口 
也 是 匹配 的 条 件 。 

每 一 个 通信 协议 都 有 一 个 通信 协议 号 。 关 于 常用 的 协议 号 ,ICMP 为 1,TCP 为 6， 
UDP 为 17,IGMP 为 88,OSPF 为 89 等 。 端 口号 是 指 TCP/IP 中 的 端口 ,范围 从 0 一 
65 535。 端 口号 有 下 列 两 种 分 类 标准 。 


1. 按 端口 号 范围 划分 


(1) 知名 端口 (Well-Known Ports)。 范 围 从 0 一 1 023, 这 些 端 口 一 般 固 定 分 配给 一 
些 服 务 。 例 如 ,21 端口 分 配给 FTP 服务 ,25 端口 分 配给 SMTP 服务 ,80 端口 分 配给 
HTTP 服务 ,135 端口 分 配给 RPC( 远 程 过 程 调用 ) 服 务 等 。 

(2) 动态 端口 (Dynamic Ports)。 范 围 从 1 024 一 65 535, 这 些 端口 号 一 般 不 固定 分 配 
给 某 个 服务 ,也 就 是 说 许多 服务 都 可 以 使 用 这 些 端口 。 只 要 运行 的 程序 向 系统 提出 访问 
网 络 的 申请 ,那么 系统 就 可 以 从 这 些 端 口号 中 分 配 一 个 供 该 程序 使 用 ,在 关闭 程序 进程 
后 ,就 会 释放 所 占用 的 端口 号 。 

2. 按 协 议 类 型 划分 

(1) TCP 端口 。 即 传输 控制 协议 端口 ,包括 FTP 服务 的 21 端口 ,Telnet 服务 的 23 
端口 ,SMTP 服务 的 25 端口 ,以 及 HTTP 服务 的 80 端口 等 。 

(2) UDP 端口 。 即 用 户 数据 包 协 议 端口 ,包括 DNS 服务 的 53 端口 ,SNMP 服务 的 
161 端口 等 。 

在 命令 提示 符 下 ,执行 “netstat -a -n” 命 令 , 就 可 以 看 到 以 数字 形式 显示 的 TCP 和 
UDP 连接 的 端口 号 及 状态 。 


11.4 ”动态 路 由 RIP 

路 由 信息 协议 (Routing Information Protocols, RIP) 是 使 用 最 广泛 的 一 种 距离 向 量 
路 由 协议 ,RIP 的 度量 标准 是 跳 数 ,会 优先 选择 跳 数 少 的 路 径 。RIP 支持 的 最 大 跳 数 是 
15, 跳 数 为 16 被 认为 目标 网 络 不 可 到 达 。 
11.4.1 RIP 路 由 概述 


在 图 11-21 所 示 的 网 络 中 ,路 由 器 A 的 路 由 表 中 没有 乙 网 络 的 路 由 信息 ,路 由 器 B 


7 一 一 


《Windows 网 络 管理 简明 教程》 


的 路 由 表 中 没有 甲 网 络 的 路 由 信息 ,为 了 实现 甲 网 络 与 乙 网 络 之 间 的 计算 机 通信 ,可 以 使 
用 动态 路 由 协议 RIP 来 实现 路 由 表 的 相互 学 习 ,实现 甲 网 络 与 乙 网 络 之 间 的 通信 。 
A 路 由 表 | B 路 由 表 
目的 地 网 关 ”| 跳 数 | | 目的 地 网 关 跳 数 
| 


甲 网 络 | 192.168.10.254 是 甲 网 络 | 192.168.30.254 1 
再 网 络 | 192.168.20.253 | . | 再 网 络 | 192.168.20.254 1 


Windows Server Windows Server © 

2003 路 由 器 A 2003 路 由 器 B 
IP : 192.168.20.253 p> 

客户 端 子 网 捷 码 : 客户 端 


息 网 络 ID 255.255.255.0 i 
多 - 192.168.10.0 192.168.30.0 、 中 
< 网 段 2 PP ; 192.168.20.254 < 


客户 端 子 网 掩 码 ，255.255.255.0 IP 0 客户 端 
网 段 1 IP : 192.168.10.254 了 : 


和 255.255.255.0 
子 网 掩 码 : 255.255.255.0 再 网 络 ID 
192.168.20.0 


客户 端 客户 端 
图 11-21 甲乙 \ 丙 3 个 网 络 通过 两 台 路 由 器 连接 


启用 RIP 的 路 由 器 会 将 其 路 由 表 内 的 路 由 信息 通告 给 其 直 连 的 邻居 路 由 器 ,而 其 他 
启用 RIP 的 路 由 器 在 收 到 这 些 路 由 信息 后 ,会 依据 这 些 路 由 信息 来 自动 更 新 自己 的 路 由 
表 。 所 有 的 RIP 路 由 器 在 相互 学 习 邻 居 的 路 由 表 后 ,都 可 以 自动 建立 正确 的 路 由 表 。 例 
如 ,路 由 器 A 与 路 由 器 B 都 启用 RIP 后 , 则 路 由 器 A 通 往 乙 网 络 的 路 由 ,路 由 器 B 通 往 
甲 网 络 的 路 由 ,都 是 利用 RIP 路 由 协议 的 学习” 功能 得 来 的 ,如 图 11-22 所 示 。 

RIP 路 由 器 的 路 由 成 本 ( 即 Metric 的 值 ) 是 以 跳 数 来 计算 的 ,也 就 是 以 跨越 路 由 器 的 
数量 来 计算 的 。 数 据 包 传送 到 目的 地 所 经 过 的 路 由 器 越 多 ,表示 成 本 越 高 。 如 果 目 的 地 
是 在 同一 网 段 内 , 则 跳 数 算 1, 之 后 每 跨越 一 个 路 由 器 增加 1。 

利用 Windows Server 2003 的 “路 由 和 远程 访问 服务 所 设置 的 RIP 路 由 器 ,会 将 所 
有 不 是 通过 RIP 学 习 来 的 路 由 成 本 固定 为 2, 包含 直 连 的 网 络 路 由 。 因 此 RIP 路 由 器 在 
通知 相 邻 的 其 他 路 由 器 时 ,都 会 宣告 这 些 路 由 成 本 为 2, 这 就 是 从 甲 网 络 到 乙 网 络 成 本 为 
3 的 原因 。 


11.4.2 启动 RIP 路 由 器 


以 图 11-21 所 示 的 网 络 为 例 , 假 设 已 经 启用 了 Windows Server 2003 服务 器 A、B 的 
路 由 服务 。 要 启动 Windows Server 2003 上 的 RIP 路 由 协议 ,操作 步骤 如 下 。 

(1) 在 Windows Server 2003 的 “路 由 和 远程 访问 ”管理 控制 台中 ,展开 服务 器 ,展开 
“IP 路 由 选择 ”, 右 击 “ 常 规 ”, 在 弹出 的 快捷 菜单 中 选择 “新 增 路 由 协议 ”选项 ,如 图 11-23 
所 示 。 
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A 路 由 表 B 路 由 表 
目的 地 网 关 跳 数 目的 地 网 关 跳 数 
甲 网 络 | 192.168.10.254 | 1 乙 网 络 | 192.168.30.254 | 1 
丙 网 络 | 192.168.20.253 | 1 再 网 络 | 192.168.20.254 | 1 
乙 网 络 | 192.168.20.254 | 3 甲 网 络 | 192.168.20.253 | 3 


Windows Server 


2003 路 由 器 A 


IP: 192.168.20.253 


子 网 掩 码 : 
255.255.255.0 


Windows Server 


2003 路 由 器 B 


网 段 2IP: 192.1 
子 网 掩 码 : 255. 


网 段 1 IP : 192.168.10.254 
子 网 掩 码 : 255.255.255.0 


客户 端 


图 11-23 新 增 路 由 协议 


68.20.254 
255.255.0 


Bw, 中 


本 


En, 


IP: 192.168.30.254 


网 掩 码 : 
255.255.255.0 


客户 端 
图 11-22 ”启用 RIP 协议 的 路 由 器 


10, 466, 644 


已 条 用 


已 禁用 
已 禁用 
已 本} 


(2) 打开 “新 路 由 协议 ”对 话 框 ,在 “路 由 协议 ”下 边 的 文本 框 中 选择 “用 于 Internet 协 
议 的 RIP 版 本 2”, 如 图 11-24 所 示 , 单 击 “ 确 定 ” 按 钮 完成 RIP 路 由 协议 的 安装 。 

(3) 在 “路 由 和 远程 访问 "管理 控制 台中 ,展开 服务 器 ,然后 展开 “IP 路 由 选择 ”, 右 击 
RIP, 在 弹出 的 快捷 菜单 中 选择 “新 增 接口 ”选项 ,添加 参与 RIP 路 由 更 新 的 网 络 接口 。 只 


有 被 添加 的 接口 才 可 以 利用 RIP 与 其 他 的 路 由 器 交换 路 由 信息 


,如 图 11-25 所 示 。 


(4) 打开 图 11-26, 由 于 要 配置 路 由 器 A 与 路 由 器 B 进行 RIP 路 由 信息 传递 ,其 中 
“网 段 1” 属 于 甲 网 络 ,“ 网 段 2” 属 于 丙 网 络 ,所 以 选择 连接 “网 段 2” 的 网 络 接口 。 
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图 11-24 选择 “用 于 Internet 协议 的 RIP 版 本 2 


路 由 和 运程 访问 


此 视图 中 没有 可 显示 的 项 目 。 


图 11-25 新 增 接口 


用 于 Internet 协议 的 RIP 版 本 2 的 新 接 回 


1394 连接 4 
网 段 1 


图 11-26 选择 连接 “网 段 2” 的 网 络 接口 


ET 


(5) 出 现 如 图 11-27 所 示 的 “RIP 属性 一 一 网 段 2 属性 ”对 话 框 , 单 击 “确定 ”按钮 。 


图 11-27 “RIP 属性 一 一 网 段 2 属性 ”对 话 框 


(6) 重复 以 上 步骤 ,添加 该 路 由 器 上 其 他 的 网 络 接口 参与 RIP 路 由 更 新 ,并 为 其 他 路 
由 器 安装 RIP 路 由 协议 ,使 直 连 的 网 络 接口 也 参与 到 RIP 路 由 更 新 中 。 


11.4.3 配置 RIP 路 由 


为 了 使 RIP 路 由 器 能 够 更 好 地 与 其 他 的 RIP 路 由 器 通信 ,需要 对 每 一 个 网 络 接 口 做 
相应 的 设置 。 以 “网 段 2” 网 络 接口 为 例 , 介 绍 RIP 路 由 的 简单 设置 。 

在 Windows Server 2003 的 “路 由 和 远程 访问 ”管理 控制 台中 ,展开 服务 器 ,然后 展开 
“IP 路 由 选择 ”, 单 击 RIP ,选择 “网 段 2? 接 口 , 如 图 11-28 所 示 。 


图 11-28 选择 “网 段 2" 接 口 


右 击 “网 段 2”, 出 现 图 11-29, 打 开 “ 常 规 ” 选 项 卡 ,显示 路 由 信息 协议 接口 的 操作 模 
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式 , 分 为 “周期 性 更 新 模式 ”与 “自动 -静态 更 新 模式 ”两 种 。 


图 11-29 “网 段 2" 接 口 RIP 路 由 协议 属性 


(1) 周期 性 更 新 模式 。 路 由 器 会 定期 从 此 接口 发 送 RIP 路 由 通告 ,以 便 将 其 已 知 的 
路 由 信息 传送 给 其 他 直 连 的 路 由 器 。 而 从 其 他 路 由 器 所 学 习 来 的 路 由 ,会 在 路 由 表 内 标 
记 为 RIP 路 由 。 这 些 路 由 信息 保存 在 路 由 器 的 内 存 中 ,因此 在 路 由 器 重新 启动 后 丢失 ， 
但 会 重新 开始 学 习 。 

(2) 自动 -静态 更 新 模式 。 路 由 器 并 不 会 主动 发 送 RIP 路 由 通告 ,只 是 在 其 他 路 由 器 
提出 更 新 路 由 信息 的 要 求 时 才 会 发 送 路 由 通告 。 而 从 其 他 路 由 器 所 学 习 来 的 路 由 ,会 在 
路 由 表 内 被 标记 为 “自动 静态 ”路 由 ,即使 路 由 器 重新 启动 ,这 个 路 由 也 不 会 从 路 由 表 中 清 
除 ,除非 手工 删除 。 


11.5 NAT 


为 了 解决 IP 日 益 短 缺 的 问题 ,网 络 地 址 转换 (Network Address Translation, NAT) 
技术 允许 将 多 个 内 部 地 址 映射 为 少数 几 个 甚至 一 个 公 网 地 址 ,这 样 就 可 以 实现 内 部 网 络 
中 的 主机 使 用 私有 地 址 透明 地 访问 外 部 网 络 中 的 资源 ;同时 外 部 网 络 中 的 主机 也 可 以 有 
选择 地 访问 内 部 网 络 。NAT 能 使 内 、 外 网 隔离 ,提供 一 定 的 网 络 安全 保障 。 


11.5.1 NAT 的 网 络 结构 


假设 某 公 司 通过 ADSL 来 连接 到 Internet, 公 司 网 络 中 有 一 台 Windows Server 2003 
服务 器 ,该 服务 器 有 两 个 网 卡 接口 : 一 个 用 来 连接 公司 内 部 局 域 网 ; 另 一 个 网 卡 ( 分 配 外 
部 公 网 IP 地 址 ) 连 接 ADSL 调制 解 调 器 的 局 域 网 接口 。 在 Windows Server 2003 服务 器 
上 启用 了 NAT 服务 .实现 公司 内 部 网 络 中 的 计算 机 通过 NAT 服务 器 访问 Internet, 如 
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图 11-30 所 示 。 


固定 ADSL 的 NAT 网 络 架构 
集线器 /交换 机 
ETH1: 内 网 网 卡 ETH0: 外 网 网 卡 
192.168.10.1 59.70.142.248 
a 本 
ADSL 调 制 解 调 器 


Windows Server 2003 


> 多 > NAT 服 务 器 


客户 端 客户 端 
IP: 192.168.10.10 IP: 192.168.10.11 
网 关 : 192.168.10.1 网 关 : 192.168.10.1 


图 11-30 NAT 的 网 络 结构 


11.5.2 NAT 的 工作 原理 


在 图 11-30 所 示 的 网 络 中 ,内 部 网 络 分 配 192. 168. 10. 0/24 网 络 的 地 址 ,并 从 ISP 申 
请 了 一 个 公共 的 IP 地 址 59. 70. 142. 248。 当 内 部 网 中 一 台 IP 地 址 为 192. 168. 10. 10 的 
客户 端 访问 IP 地 址 为 57. 70. 143. 254 的 外 部 Web 服务 器 时 ,NAT 转换 的 过 程 如 
图 11-31 所 示 。 


源 吓 源 端 口 目的 IP 目的 端口 源 IP 源 端口 目的 IP 目的 端口 
192.168.10.10 | 1025 | 59.70.143.254 | 80 59.70.142.248 | 5000 | 59.70.143.254 | 80 
请 求 NAT: 交 作 
内 部 局 域 网 59.70.142.248 2 给 Re 59.70.143.254 
NAT; 给 资源 服务 器 把 请 求 的 数据 包 
骨 旺 于 和 
客户 端 Windows Server 2003 Windows Server 2003 
IP: 192.168.10.10, NAT 服 务 器 资源 服务 器 
源 IP 源 端 口 目的 IP | 目的 端口 源 IP 源 端 口 目的 中。 | 目的 端口 
59.70.143.254 | 80 | 192.168.10.10 | 1025 59.70.143.254 | 80 | 59.70.142.258 | 5000 


图 11-31 NAT 转换 的 过 程 


可 以 看 出 ,使 用 NAT 地址 转换 服务 ,对 于 向 外 发 送 的 数据 包 , 源 IP 地 址 和 源 TCP/ 
UDP 端口 号 将 被 映射 到 一 个 公共 的 IP 地 址 和 一 个 可 能 变化 的 TCP/UDP 端口 号 。 对 于 
接收 的 数据 包 , 目 标 IP 地 址 和 目标 TCP/UDP 端口 号 将 被 映射 到 私有 IP 地 址 和 初始 的 
TCP/UDP 端口 号 。 

使 用 NAT 服务 器 ,通过 IP 地 址 与 端口 转换 ， we 
IP 就 可 以 上 网 ,因此 可 以 降低 公司 申请 公 网 IP 的 成 本 。 同 时 由 于 外 网 的 计算 机 只 能 
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访问 到 NAT 服务 器 的 公 网 IP, 无 法 直接 与 局 域 网 内 的 计算 机 通信 ,因此 可 以 提高 内 部 网 
的 安全 性 。 


11.5.3 安装 .配置 NAT 
安装 .配置 NAT 服务 器 的 操作 步骤 如 下 。 


(1) 打开 “路 由 和 远程 访问 ”控制 台 , 右 击 SEVER01( 本 机 ) ,在 弹出 的 快捷 菜单 中 选 
择 “ 配 置 并 启用 路 由 和 远程 访问 ”选项 ,如 图 11-32 所 示 。 


， 在 “操作 ” 菏 单 上 单 击 “ 配 置 并 启用 路 
芒 问 ， 部 署 方 案 ， 以 及 疑难 解答 的 更 多 信 


图 11-32 配置 并 启用 路 由 和 远程 访问 


(2) 在 “欢迎 使 用 路 由 和 远程 访问 服务 安装 向 导 ” 对 话 框 中 , 单 击 * 下 一 步 ” 按 钮 。 在 
图 11-33 中 ,选择 “网 络 地 址 转换 (NAT)” 单 选 按钮 。 


ET 


图 11-33 ”选择 网 络 地 址 转换 (NAT) 


(3) 单 击 * 下 一 步 ? 按 钮 ,选择 用 来 连接 Internet 的 网 络 接口 ,这 里 选择 IP 地 址 为 
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59. 70. 142. 248 的 “Eth0 外 网 网 卡 ”, 系 统 默认 会 启动 基本 防火 墙 ,如 图 11-34 所 示 。 


路 由 和 运程 访问 服务 器 安装 


AT Internet 连接 [中 
Eb :或 者 为 客户 端 计算 机 创建 一 个 新 的 请 求 技 号 。 轩 人 
口 Internet» ” 


Vware Virtual E... 192.168.10.1 


图 11-34 选择 连接 Internet 的 网 络 接口 


(4) 单 击 * 下 一 步 按 钮 ,如 果 NAT 服务 器 检测 不 到 网 络 中 有 DHCP 或 DNS 服务 
器 , 则 会 弹出 如 图 11-35 所 示 的 “名 称 和 地 址 转换 服务 ”对 话 框 , 即 如 何 对 客户 端 提供 IP 
地 址 及 DNS 解析 。 有 两 种 选择 。 

@ 启用 基本 的 设置 名 称 和 地 址 服务 。 指 利用 路 由 和 远程 访问 服务 本 身 的 DHCP 分 
配器 和 DNS 代理 ,自动 为 NAT 客户 端 提供 分 配 IP 地 址 和 DNS 解析 服务 。 

@ 我 将 稍 后 设置 名 称 和 地 址 服务 。 指 网 络 管理 员 配 置 好 NAT 服务 后 ,再 设置 
DHCP 服务 和 DNS 服务 。 

在 此 选择 “启用 基本 的 名 称 和 地 址 服务 * 单 选 按钮 , 单 击 * 下 一 步 ? 按 钮 。 


[me 


图 11-35 启用 基本 的 名 称 和 地 址 服务 
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(5) 如 果 由 NAT 服务 器 分 配 IP 地 址 的 话 , 它 会 分 配 网 络 ID 为 192. 168. 10. 0 的 IP 
地 址 给 客户 端 ,如 图 11-36 所 示 , 单 击 “下 一 步 按 钮 。 


路 由 和 运程 访问 服务 器 安装 痛 导 


地 址 指派 范围 
Windows 为 您 的 网 络 定义 了 一 个 地 址 范围 . 


图 11-36 指派 网 络 ID 为 192. 168. 10.0 的 IP 地 址 


(6) 出 现 “ 完 成 路 由 和 远程 服务 安装 向 导 ” 对 话 框 时 , 单 击 “ 完 成 ”按钮 即 可 完成 NAT 
服务 的 基本 设置 。 


11.6 DHCP 分 配器 与 DNS 代理 


NAT 服务 器 本 身 提供 了 两 个 功能 ,可 以 实现 客户 端 IP 地 址 的 分 配 和 名 称 解析 ,这 两 
个 功能 分 别 如 下 。 

(1) DHCP 分 配器 。 用 来 分 配 IP 地 址 给 内 部 网 中 的 客户 端 计算 机 。 

(2) DNS 代理 。 可 以 为 内 部 网 的 计算 机 提供 名 称 解析 服务 。 


11.6.1 DHCP 分 配器 


DHCP 分 配器 的 作用 类 似 于 DHCP 服务 器 ,用 来 分 配 IP 地 址 给 内 部 网 中 的 客户 端 
计算 机 。 在 设置 NAT 服务 器 时 ,如 果 系 统 检测 到 网 络 上 有 DHCP 服务 器 , 它 就 不 会 激活 
DHCP 分 配器 。 而 是 优先 使 用 DHCP 服务 器 提供 的 服务 。 

要 启动 ,修改 DHCP 分 配器 的 设置 ,可 以 在 “路 由 和 远程 访问 ?控制 台中 选择 服务 器 ， 
并 选择 “IP 路 由 选择 ”, 右 击 “NAT/ 基 本 防火 墙 ", 选 择 “ 属 性 ”, 在 打开 的 “NAT/ 基 本 防火 
墙 属性 ”对 话 框 中 ,选择 地址 指派 ”选项 卡 , 如 图 11-37 所 示 。 

DHCP 分 配器 分 配给 客户 端的 IP 地 址 范围 是 192. 168. 10. 1 一 192. 168. 10. 254, 这 
个 默认 值 是 根据 NAT 服务 器 局 域 网 接口 的 IP 地 址 产生 的 。 可 以 修改 这 个 设置 值 ,不 过 
必须 与 NAT 服务 器 局 域 网 接口 的 IP 地址 在 同一 网 络 。NAT 的 DHCP 分 配器 只 能 分 配 
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HAT7 基 本 防火 培 尾 性 


192.168. 10 . 0 | 


图 11-37 NAT/ 基 本 防火 墙 的 “地 址 指派 ”选项 卡 


一 个 网 段 的 IP 地 址 ,如 果 NAT 服务 器 有 多 个 专用 接口 (也 就 是 连接 多 个 子 网 ) ,就 必须 
通过 DHCP 服务 器 来 分 配 IP 地 址 。 


11.6.2 DNS 代理 


要 为 内 部 网 络 中 的 客户 端 计算 机 提供 DNS 代理 名 称 解析 服务 ,需要 启动 .配置 DNS 
代理 ,操作 步骤 如 下 。 

打开 “路 由 和 远程 访问 "控制 台 , 选 择 服 务 器 ,并 选择 "IP 路 由 选择 ”, 右 击 "NAT/ 基 本 
防火 墙 ”, 选 择 “ 属 性 ”, 选 择 “ 名 称 解 析 ” 选 项 卡 ,如 图 11-38 所 示 。 


图 11-38 NAT/ 基 本 防火 墙 的 “名 称 解析 ”选项 卡 
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选取 “使 用 域名 系统 (DNS) 的 客户 端 " 复 选 框 ,表示 要 启用 DNS 代理 的 功能 ,以 后 只 
要 客户 端 上 网 ,收发 电子 邮件 等 ,NAT 服务 器 都 会 代替 这 些 客户 端 来 向 DNS 服务 器 查询 
网 站 ,邮件 服务 器 等 主机 的 IP 地 址 。 在 查询 过 程 中 ,NAT 服务 器 会 向 本 机 在 TCP/IP 设 
置 处 所 指定 的 DNS 服务 器 查询 。 如 果 这 些 DNS 服务 器 位 于 Internet, 则 可 以 选取 * 当 名 
称 需 要 解析 时 连接 到 公用 网 络 复 选 框 ;如 果 是 拨号 连接 ,然后 利用 PPPoE 指定 拨号 * 远 
程 路 由 器 ?来 连接 Internet。 


11.7 ”NAT 服务 器 内 的 防火 墙 


配置 好 NAT 服务 器 之 后 ,内 部 网 络 中 的 主机 可 以 访问 外 部 网 络 ,但 由 于 NAT 服务 
本 身 具 有 防火 墙 的 作用 ,默认 外 部 网 络 的 主机 不 能 访问 内 部 网 络 。 有 时 内 部 网 络 需要 对 
外 提供 服务 ,就 需要 打开 NAT 服务 器 内 的 防火 墙 ,这 里 主要 介绍 端口 映射 和 地 址 映射 技 
术 , 实 现在 使 用 NAT 的 内 部 网 络 中 能 够 对 外 提供 服务 。 


11.7.1 NAT 网 络 接口 与 防火 墙 


设置 NAT/ 基 本 防火 墙 的 操作 步骤 如 下 。 

打开 * 路 由 和 远程 访问 ”控制 台 , 展 开 服 务 器 ,展开 *IP 路 由 选择 ”下 的 “NAT/ 基 本 防 
火 墙 ,选中 需要 设置 的 网 络 接口 , 右 击 * 属 性 ”打开 *NAT/ 基 本 防火 墙 ?选项 卡 , 只 有 对 
外 连接 的 公用 接口 才 可 以 启用 基本 防火 墙 ,对 内 的 专用 接口 无 法 启用 基本 防火 墙 , 如 
图 11-39 所 示 。 


图 11-39 “NAT/ 基 本 防火 墙 ?选项 卡 
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(1) 专用 接口 到 专用 网 络 。 如 果 接 口 用 来 连接 内 部 局 域 网 , 则 选择 此 单 选 按钮 。 

(2) 公用 接口 连接 到 Internet。 如 果 接 口 用 来 连接 Internet, 则 选择 此 选项 ,并 且 可 
以 选择 是 否 要 启用 NAT 与 基本 防火 墙 的 功能 。 

(3) 基本 防火 墙 。 表 示 此 接口 将 只 提供 基本 防火 墙 的 功能 ,不 提供 NAT 的 功能 。 

Windows Server 2003 的 NAT 与 基本 防火 墙 具 备 静态 数据 包 筛选 功能 ,通过 单 击 
图 11-39 中 的 “入 站 筛选 器 ”与 “出 站 筛选 器 ”按钮 可 以 自行 设置 静态 数据 包 筛 选 的 规则 ， 
提高 内 部 网 络 的 安全 性 。 


11.7.2 端口 映射 


默认 情况 下 ,NAT 服务 只 为 内 部 网 络 中 的 计算 机 提供 访问 外 部 网 络 的 能 力 , 而 不 允 
许 外 部 网 络 中 的 计算 机 访问 内 部 网 络 中 的 计算 机 ,因为 内 部 网 络 中 的 计算 机 使 用 的 是 私 
有 IP 地 址 。 如 果 在 内 部 网 络 中 创建 了 Web 网 站 .FTP 站 点 .电子 邮件 服务 等 ,要 想 让 外 
部 网 络 的 用 户 来 访问 这 些 服务 ,可 以 通过 端口 映射 技术 ,就 可 以 对 外 提供 内 部 局 域 网 提供 
的 这 些 服务 。 

假设 内 部 网 中 一 台 计 算 机 A 上 有 Web 网 站 ,其 IP 地 址 为 192. 168. 10. 2, Web 服务 
默认 的 端口 为 80, 如 果 要 让 外 部 网 络 中 的 用 户 可 以 访问 此 Web 网 站 , 则 需要 对 外 宣布 
Web 网 站 的 IP 地 址 为 59. 70. 142. 248( 即 NAT 服务 器 上 连接 外 部 网 络 接口 的 IP 地 址 ) ， 
当 有 外 部 的 用 户 通过 http://59.70. 142. 248 来 访问 此 网 站 时 ,NAT 服务 器 会 将 此 请 求 
传送 到 内 部 的 计算 机 A, 并 由 计算 机 A 上 的 Web 网 站 来 负责 处 理 用 户 的 请 求 。 该 Web 
网 站 将 用 户 请 求 的 内 容 传 送 给 NAT 服务 器 ,再 由 NAT 服务 器 负责 传送 给 外 部 用 户 的 计 
算 机 ,如 图 11-40 所 示 。 


集线器 /交换 机 


ETH1: 内 网 网 卡 。 ETH0: 外 网 网 卡 
192.168.10.1 59.70.142.248 


Internet 


ADSL 调 制 解 调 器 
Http://59.70.142.248 
Windows Server 2003 
NAT 服 务 器 


IP: 192.168.10.10 
网 关 : 192.168.10.1 


计算 机 A 
IP: 192.168.10.2 
网 关 : 192.168.10.1 


11-40 NAT 端口 映射 


要 设置 TCP/UDP 端口 映射 ,操作 步骤 如 下 。 
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打开 “路 由 和 远程 访问 ”控制 台 ,展开 “服务 器 (本 地 )”, 展 开 “IP 路 由 选择 ”下 的 
“NAT/ 基 本 防火 墙 ”, 双 击 连 接 外 部 网 络 的 网 络 接口 ,打开 “服务 和 端口 ”选项 卡 ,从 “ 服 
务 ? 列 表 中 选取 要 对 外 提供 的 服务 ,如 图 11-41 所 示 。 

由 于 要 对 外 提供 Web 服务 ,因此 选中 “Web 服务 器 (HTTP)” 复 选 框 ,在 弹出 的 图 11-42 
中 进行 设置 。 


运程 路 由 器 尾 性 


口 wex 网 关 02TP/IFSec - 运行 于 此 服务 器 上 ) 
口 wex 网 Xeerp 
OW 


192 .168. 10 .2 


[确定 | mm | 


图 11-41 “服务 和 端口 ?选项 卡 图 11-42 配置 端口 映射 


其 中 的 “公用 地 址 ”选择 “在 此 接口 ” 单 选 按钮 ,表示 由 ISP 分 配给 NAT 服务 器 的 公 
网 IP 地 址 “专用 地 址 ?是 指 外 部 传送 给 IP 地 址 为 59. 70. 142. 248、 端 口 为 80 的 TCP 数 
据 包 ,NAT 服务 器 都 会 将 其 转换 为 专用 IP 地 址 为 192. 168. 10. 2、 端 口 为 80 的 服务 器 软 
件 来 负责 。 


11.7.3 地 址 映射 


通过 TCP/UDP 端口 映射 技术 ,开放 NAT 服务 器 的 某 些 端口 ,实现 外 部 网 络 的 计算 
机 与 内 部 网 络 的 计算 机 互相 通信 。 但 对 某 些 特殊 的 应 用 程序 来 说 ,例如 某 些 网 络 游戏 ,只 
开放 部 分 端口 是 不 行 的 ,此 时 可 以 通过 “地 址 映射 "技术 来 解决 这 个 问题 。 只 有 NAT 服 
务 器 具有 多 个 公共 IP 地 址 时 , 才 可 以 使 用 地 址 映射 。 

如 果 已 经 申请 了 多 个 公共 的 IP 地 址 , 则 可 以 把 这 些 公共 的 IP 地 址 添加 到 NAT 服 
务 器 的 地 址 池内 ,操作 步骤 如 下 。 

打开 “路 由 和 远程 访问 ”控制 台 , 展 开 服务 器 ,展开 “IP 路 由 选择 ”中 的 “NAT/ 基 本 防 
火 墙 ", 选 择 连接 外 部 网 络 的 网 络 接口 , 右 击 “ 属 性 ”, 打 开 连 接 外 部 网 络 接口 的 属性 对 话 
框 ,打开 “地 址 池 ” 选 项 卡 ,如 图 11-43 所 示 。 
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单 击 “ 添 加 ”按钮 ,然后 输入 起 始 和 结束 的 公共 IP 地 址 ,如 图 11-44 所 示 。 


ETHO0 外 网 网 卡 尾 性 


59 . 70 .142 .248 


图 11-43 添加 地 址 池 图 11-44 输入 起 始 和 结束 的 公共 IP 地 址 


单 击 “ 确 定 ” 按 钮 ,完成 向 地 址 池内 添加 多 个 公共 IP 地 址 的 操作 。 
单 击 “ 地 址 池 ” 选 项 卡 中 的 “保留 ”按钮 ,弹出 如 图 11-45 所 示 的 “地 址 保留 ”对 话 框 ,可 
以 保留 一 些 公共 的 IP 地 址 与 私有 IP 地 址 进行 地 址 映射 。 


图 11-45 “地 址 保留 "对话 框 


单 击 “ 添 加 ”按钮 ,弹出 如 图 11-46 所 示 的 “添加 保留 区 ”对 话 框 ,可 以 将 地 址 池 中 的 公 
有 IP 地 址 59. 70. 142. 253 保留 给 使 用 私有 IP 地 址 为 192. 168. 10. 5 的 这 台 计 算 机 。 

这 样 所 有 从 外 部 传送 给 IP 地 址 为 59. 70. 142. 253 的 数据 包 , 都 会 被 NAT 服务 器 转 
发 给 IP 地 址 为 192. 168. 10. 5 的 计算 机 。 
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有 添加 保 久 区 


11-46 “添加 保留 区 ”对 话 框 


从 外 网 传送 到 内 网 的 各 种 数据 包 之 中 ,NAT 服务 器 默认 只 接收 响应 内 部 计算 机 请 
求 的 数据 包 , 不 接收 由 外 部 计算 机 主动 与 内 部 计算 机 通信 的 数据 包 。 若 要 让 外 面 的 计算 
机 主动 与 内 部 计算 机 通信 , 则 必须 选中 “允许 将 会 话 传送 到 此 地 址 ” 复 选 框 ,如 果 这 时 也 没 
有 针对 公共 IP/ 私 有 IP 做 任何 数据 包 筛 选 的 安全 设置 ,这 时 就 实现 了 私有 IP 与 公有 IP 
的 一 一 对 应 , 则 内 部 这 人 台 使 用 私有 IP 的 计算 机 将 处 于 完全 开放 的 状态 。 
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第 12 章 终端 服务 


学 习 目 标 

学 习 完 本 章 后 ,了 解 Windows Server 2003 终端 服务 的 基本 概念 ,掌握 终端 服务 器 安 
装 、 配 置 以 及 客户 端 配置 的 过 程 , 掌 握 如 何在 终端 服务 器 上 安装 应 用 程序 ,了 解 终端 服务 
与 远程 桌面 的 区 别 。 


12.1 终端 服务 概述 


Windows Server 2003 通过 终端 服务 (Terminal Services) 技术 ,提供 了 以 下 两 个 
功能 。 

(1) 远程 桌面 。 使 用 该 功能 系统 管理 员 可 以 远程 管理 计算 机 ,此 功能 已 经 内 置 在 
Windows Server 2003 内 ,无 须 额外 安装 ,但 每 一 台 被 管理 的 计算 机 最 多 只 允许 2 个 人 
连接 。 

(2) 多 用 户 同时 执行 位 于 终端 服务 器 内 的 应 用 程序 。 将 Windows Server 2003 设置 

终端 服务 器 后 ,可 以 在 这 台 终端 服务 器 上 安装 应 用 程序 ,并 且 这 些 应 用 程序 可 以 让 网 络 
a 

用 户 通 过 远程 桌面 连接 软件 连接 终端 服务 器 时 ,必须 在 终端 服务 器 上 或 终端 服务 器 
所 在 的 域 中 有 合法 的 用 户 名 和 密码 ,这些 用 户 隶 属于 Remote Desktop Users 内 置 组 或 系 
统管 理 员 组 。 用 户 连接 成 功 后 ,就 可 以 执行 终端 服务 器 上 的 应 用 程序 、 保 存 文件 ,使 用 网 
络 资源 ,就 像 是 坐 在 终端 服务 器 旁边 直接 操作 一 样 。 实 际 上 ,客户 端 计算 机 的 屏幕 上 只 是 
显示 终端 服务 器 上 的 输出 结果 ,应 用 程序 是 在 终端 服务 器 上 执行 ,在 客户 端 计算 机 上 只 是 
利用 键盘 、 鼠 标 执行 输入 动作 。 每 个 用 户 连 接 到 终端 服务 器 后 只 能 看 到 自己 的 会 话 ,该 会 
话 独立 于 其 他 客户 端的 会 话 。 通 过 终端 服务 器 上 多 会 话 环境 的 设置 ,多 个 远程 用 户 可 以 
同时 访问 终端 服务 器 的 桌面 或 应 用 程序 。 

安装 终端 服务 器 后 ,虽然 可 以 供 多 人 同时 执行 位 于 终端 服务 器 内 的 应 用 程序 ,但 是 只 
有 120 天 的 使 用 期 限 ,120 天 后 终端 服务 器 会 拒绝 用 户 的 连接 ,除非 网 络 中 有 一 台 已 经 被 
激活 的 终端 服务 器 ,并 且 取 得 合法 的 授权 连接 数量 。 也 就 是 说 120 天 后 ,用 户 必须 经 过 
“终端 服务 器 授权 服务 器 ”的 授权 后 , 才 可 以 连接 终端 服务 器 。 可 以 利用 安装 “终端 服务 器 
授权 ”服务 来 建立 “终端 服务 器 授权 服务 器 ”。 


12.2 安装 与 配置 终端 服务 器 


如 果 只 是 想 使 用 Windows Server 2003 提供 的 远程 桌面 管理 功能 ,并 且 不 超过 2 个 
用 户 连接 ,这 时 就 不 需要 安装 终端 服务 , Windows Server 2003 默认 情况 下 已 经 安装 了 远 
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程 桌 面 管 理 组 件 。 但 如 果 要 允许 多 个 用 户 同时 执行 服务 器 上 的 应 用 程序 ,就 必须 安装 终 
端 服务 。 


12.2.1 安装 终端 服务 器 


在 Windows Server 2003 计算 机 上 ,安装 终端 服务 的 操作 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 一 “控制 面板 ”>"“ 添 加 或 删除 程序 ”>“ 添 加 /删除 Windows 组 件 向 
导 ”, 在 “Windows 组 件 向 导 ” 对 话 框 中 选中 “终端 服务 器 ”前 的 复 选 框 ,如 图 12-1 所 示 , 单 
击 “ 下 一 步 ”按钮 。 


indows 钥 件 


可 以 添加 或 山 除 Windows 的 粗 件 。 


图 12-1 “Windows 组 件 向 导 ” 对 话 框 


图 12-2 提示 有 关 安 装 终端 组 件 的 信息 框 
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(3) 在 图 12-3 中 ,有 两 种 选择 : 完整 安全 模式 和 宽松 安全 模式 。 具 体 使 用 哪 种 安全 
模式 需要 根据 实际 需求 ,在 此 选择 默认 值 "完整 安全 模式 ”, 单 击 “ 下 一 步 " 按 钮 。 


图 12-3 为 应 用 程序 兼容 性 选择 默认 权限 


(4) 在 图 12-4 中 ,有 3 种 终端 许可 方式 。 

@ 使 用 下 列 许可 证 服务 器 。 公 司 的 网 络 一 般 都 没有 专门 的 许可 证 服务 器 。 

@ 使 用 自动 搜索 的 许可 证 服务 器 。 将 自动 搜索 网 络 中 的 许可 证 服务 器 ,适合 许可 证 
服务 器 不 固定 的 网 络 使 用 。 

@ 我 将 在 120 天 内 指定 许可 证 服务 器 。 先 使 用 终端 服务 120 天 ,之 后 再 购买 许可 
证 ,建立 相应 的 许可 证 服务 器 。 


国 
终 访 服务 器 安装 程序 _ _ = 
i | 


图 12-4 指定 许可 证 服务 器 


具体 使 用 哪 种 许可 方式 ,要 根据 实际 情况 选择 ,这 里 选择 “我 将 在 120 天 内 指定 许可 
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证 服务 器 " 单 选 按钮 , 单 击 “ 下 一 步 "按钮 。 

(5) 出 现 图 12-5 所 示 的 授权 模式 ,有 两 种 选择 。 

@ 每 设备 授权 模式 。 一 个 设备 一 个 授权 ,只 能 在 具有 授权 许可 证 的 设备 上 使 用 终端 
服务 。 

@ 每 用 户 授权 模式 。 一 个 用 户 一 个 授权 ,只 有 经 过 授权 的 用 户 才能 使 用 终端 服务 。 


Tindors 钥 件 向 导 


图 12-5 指定 授权 模式 


在 向 微软 公司 购买 授权 许可 证 前 ,这 些 选 项 都 是 没有 意义 的 。 具 体 使 用 哪 种 授权 模 
式 , 管 理 员 要 根据 实际 情况 做 出 选择 ,这 里 选择 “每 设备 授权 模式 ” 单 选 按钮 , 单 击 “ 下 一 
步 "按钮 。 

(6) 出 现 安装 进度 画面 , 当 出 现 “完成 Windows 组 件 向 导 ” 时 , 单 击 “ 完 成 ”按钮 重新 
启动 系统 , 即 可 完成 终端 服务 器 的 安装 。 


12.2.2 客户 端 所 需 软件 


Windows Server 2003、Windows XP 客户 端 计算 机 已 经 内 置 了 “远程 桌面 连接 ?客户 
端 软件 ,无 须 额外 安装 就 可 以 连接 到 终端 服务 器 。 而 Windows Server 2000、Windows 
NT 等 客户 端 计算 机 必须 单独 安装 这 些 客户 端 软 件 。“ 远 程 桌面 连接 ”安装 软件 位 于 终端 
服务 器 的 %systemroot%\system32\clients\tsclient\win32 文件 夹 内 ,可 以 将 此 文件 夹 设 
为 共享 文件 夹 ,然后 让 用 户 连接 到 此 共享 文件 夹 ,并 执行 其 中 的 安装 程序 SETUP. EXE。 
安装 完成 后 ,可 以 通过 单 击 “ 开 始 ”>“ 程 序 ”>“ 附 件 ” 一 “通信 ”一 “远程 桌面 连接 ”的 方式 
来 连接 终端 服务 器 。 


12.2.3 授予 用 户 通过 终端 服务 登录 的 权限 


为 使 用 户 能 登录 到 终端 服务 器 ,必须 在 提供 终端 服务 的 计算 机 上 开启 “远程 桌面 ”, 并 


且 要 将 用 户 账户 加 入 到 Remote Desktop Users 组 .用 户 才 可 以 利用 “远程 桌面 连接 ”来 连 
接 到 终端 服务 器 或 远程 计算 机 。 将 用 户 加 入 到 Remote Desktop Users 组 的 方式 ,与 这 台 
提供 终端 服务 的 计算 机 是 否 安 装 终端 服务 器 有 关 。 


1. 未 安装 终端 服务 器 时 


如 果 未 安装 终端 服务 器 ,只 提供 远程 桌面 管理 的 功能 , 则 授予 用 户 能 够 连接 到 这 台 计 
算 机 的 远程 桌面 的 操作 步骤 如 下 。 

(1) 单 击 “ 开 始 ? 一 控制 面板 ”一 系统 ”远程 ?选项 卡 ,出 现 图 12-6 ,提示 用 于 远程 
桌面 连接 的 账户 必须 有 密码 ,并 且 防 火 墙 需要 打开 相应 的 端口 才能 正常 访问 , 单 击 “ 确 定 ” 
按钮 。 

(2) 出 现 图 12-7 ,选择 “远程 选项 卡 , 选 中 * 启 用 这 台 计 算 机 上 的 远程 桌面 ”前 的 复 选 
框 , 即 可 启动 远程 桌面 连接 。 


图 12-6 ”提示 用 于 远程 桌面 连接 的 图 12-7 启用 这 台 计 算 机 上 的 远程 桌面 
账户 必须 有 密码 


(3) 单 击 图 12-7 中 的 “选择 远程 用 户 ” 按 钮 ,出 现 图 12-8。 单 击 “ 添 加 ”按钮 ,将 用 户 
加 入 到 Remote Desktop Users 组 。 

默认 情况 下 ,Administrator 账户 已 经 具有 远程 桌面 访问 权限 。 新 建 的 其 他 用 户 需要 
加 入 到 Remote Desktop Users 组 或 管理 员 组 后 才能 进行 远程 桌面 访问 。 


2. 安装 了 终端 服务 器 时 


如 果 已 经 安装 了 终端 服务 器 ,授予 用 户 终端 服务 访问 权限 的 操作 步骤 如 下 。 
(1) 单 击 “开始 ”一 “控制 面板 ”系统 ”远程 ?选项 卡 , 选 取 * 启 用 这 台 计算 机 上 的 
远程 桌面 " 复 选 框 即 可 ,如 图 12-9 所 示 。 
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远程 点 面 用 户 


图 12-8 添加 远程 桌面 用 户 图 12-9 启用 计算 机 上 的 远程 桌面 


(2) 如 果 此 计算 机 是 域 控制 器 ,请 打开 “Active Directory 用 户 和 计算 机 ”管理 工具 ， 
将 用 户 加 入 Remote Desktop Users 组 ,该 组 位 于 Builtin 容器 内 ,如 图 12-10 所 示 。 


ory 用 户 和 计算 机 


(3) 如 果 是 成 员 服 务 器 、 独 立 服 务 器 , 单 击 “开始 ”>“ 管 理工 具 ” 一 “计算 机 管理 ”一 
“系统 工具 ”>“ 本 地 用 户 和 组 ”, 将 用 户 加 入 Remote Desktop Users 组 ,如 图 12-11 所 示 。 


3. 在 组 策略 中 修改 通过 终端 服务 允许 登录 的 权限 


默认 情况 下 , Windows Server 2003 成 员 服务 器 ,独立 服 务 器 与 Windows XP 计算 机 
内 的 Remote Desktop Users 组 已 经 具备 了 “允许 通过 终端 服务 登录 ”的 权限 。 但 在 域 控 
制 器 上 ,Remote Desktop Users 组 却 没有 这 个 权限 ,授予 该 权限 的 操作 步骤 如 下 。 

(1) 在 域 控制 器 上 , 单 击 “ 开 始 ” 一 “管理 工具 ”一 “ 域 控 制 器 安全 策略 ”一 “安全 设 
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置 ”一 本 地 策略 ”用户 权限 分 配 ”, 如 图 12-12 所 示 。 


EEELS 
局 文人 四 要 作风 查看 WD 窗口 加 帮助 中 


计算 机 管理 (本地) 

Administrators 管理 员 对 计算 机 / 域 有 不 委 限 制 
Backup Operators 备份 党 作 员 为 了 备份 或 还 原文 件 . 
Distributed COM Users 成 员 允 评 司 动 、 汶 活 和 使 用 此 计 . 
Guests 控 默 认 值 ， 来 宾 跟 用 户 组 的 成 员 ， 
atwork Configurat. . ， 此 组 中 的 成 员 有 部 分 管理 权限 来 
Perforaance Log Users 此 组 的 成 员 可 以 远程 访问 以 计划 
Per formance Bonite， 此 组 的 成 员 可 以 远程 访问 以 监视 ， 

要 power Users 高 级 用 户 over Users) 拥 有 大 ， 

BPrint Operators 成 员 可 以 管理 域 打 印 机 


ee Ea 支持 域 中 的 文件 复制 。 
用 户 天 法 进行 有 意 或 无 意 的 By 动 
由 遇 服务 和 应 用 程序 如 对 DCP 服务 器 有 管理 访问 权 的 
对 DIE 最 务 只 有 只 读 访 问 权 的 


图 12-11 将 用 户 加 入 Remote Desktop Users 组 


Everyone, Adnini 


Adninistrators 


mare_, Adni 


Adninistrators 

Adninistrators 

Adninistrators 
殴 作 为 服务 登录 JETWORK SERVICE 
殴 作 为 批 处 理 作业 登录 LOCAL SERVICE, S 


图 12-12 通过 终端 服务 允许 登录 策略 


(2) 双击 “通过 终端 服务 允许 登录 ”策略 ,添加 Remote Desktop Users 组 ,如 图 12-13 
所 示 。 

(3) 单 击 “ 确 定 ” 按 钮 , 即 可 完成 该 策略 项 的 设置 ,系统 默认 5min 后 应 用 此 策略 到 域 
控制 器 ,重新 开机 也 会 应 用 ,也 可 以 在 命令 提示 符 下 执行 gpupdate/target: computer/ 
force 命令 强制 刷新 以 应 用 组 策略 。 


12.2.4 如 何 连接 到 终端 服务 器 


在 Windows Server 2003 计算 机 上 ,要 利用 “远程 桌面 连接 ”连接 到 终端 服务 器 ,操作 
步骤 如 下 。 

(1) 单 击 * 开 始 ”>“ 程 序 ”>“ 附 件 ” 一 “通信 ”一 “远程 桌面 连接 ”, 在 图 12-14 中 ,输入 
需要 连接 的 终端 服务 器 或 远程 计算 机 的 IP 地 址 或 计算 机 名 称 或 完整 的 主机 名 称 。 
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相对 
本 地 安全 设置 | 
[ 司 。 通过 终 问 服务 允许 丛 录 


添加 用 户 或 组 0D. 扣除 ) 


Eis 168 10.1 本 
取消 天助 旭 | 选项 中) 六 


图 12-13 设置 通过 终端 服务 允许 登录 策略 图 12-14 远程 桌面 连接 


(2) 当 出 现 图 12-15 所 示 的 界面 时 ,输入 用 于 登录 的 用 户 名 和 密码 后 , 单 击 “ 确 定 ” 
按钮 。 


员 192. 168.10. 1 - 远程 点 而 


§ Windows Server 2003 
村 ”Standard Edition 


图 12-15 输入 用 于 登录 的 用 户 名 和 密码 


(3) 若 出 现 图 12-16 所 示 的 登录 消息 警告 框 , 则 表示 可 能 是 该 用 户 未 加 入 Remote 
Desktop Users 组 ,或 是 输入 的 用 户 名 和 密码 错误 。 

(4) 登录 成 功 后 ,可 以 看 到 终端 服务 器 或 远程 计算 机 的 桌面 。 

用 户 完 成 在 终端 服务 器 上 的 操作 任务 后 ,需要 注销 或 断 开 与 终端 服务 器 的 连接 。 
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[第 12 章 用 生生 二 本 2 


了 Windows Server 2003 
Standard Edition 


有 PS [ow 


系统 无 法 让 修 登 录 。 请 确定 燃 的 用 户 名 及 域 无 误 ， 姑 后 再 次 辆 入 密码 。 密 码 的 字母 必须 


全 用 正确 的 大 沾 与 


图 12-16 建立 远程 桌面 连接 时 输入 的 用 户 名 和 密码 错误 


中 在 远程 桌面 窗口 中 , 单 击 “ 开 始 ”>“ 注 销 ”, 或 使 用 Ctrl 十 Alt 十 End 组 合 键 即 可 注 
销 与 终端 服务 器 的 连接 ,注销 后 ,用 户 在 终端 服务 器 上 执行 的 程序 会 结束 。 

@ 用 户 可 以 直接 单 击 远程 桌面 窗口 右上 方 的 X , 即 关闭 按钮 来 断 开 与 终端 服务 器 的 
连接 , 断 开 连接 并 不 会 结束 用 户 正在 终端 服务 器 上 运行 的 程序 ,并 且 这 些 程序 会 在 终端 服 
务 器 上 继续 和 运行, 用户 下 一 次 即使 是 从 另外 一 台 计 算 机 上 来 重新 连接 终端 服务 器 ,也 会 继 
续 先前 打开 的 会 话 。 


12.3 配置 终端 服务 器 
要 更 改 终端 服务 器 的 设置 ,操作 步 骏 如 下 。 


在 终端 服务 器 上 , 单 击 “开始 ”一 “ 一 “管理 工具 ”一 “终端 服务 配置 ”, 打 开 如 
图 12-17 所 示 的 对 话 框 , 右 击 RDP-Tcp, 可 以 更 改 终端 服务 的 设置 ,如 图 12-18 所 示 。 


tsce ~ [和 这 服 务 配置 \ 连 接 ] 
文件 四 操作 内 查看 WW 帮助 o 
SEEJieiE ie 


终 请 服务 配置 
司 连接 旦 np-Te top 有 ierosoi ft RDP 5.2 
由 - 国 服务 器 设置 
[ 


=I9)x] 


图 12-17 更 改 终端 服务 的 设置 
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1. 登录 设置 
选择 “登录 设置 ”选项 卡 , 可 以 设置 用 户 登 录 终端 服务 器 的 方式 ,如 图 12-19 所 示 。 


12-18 终端 服务 的 常规 设置 图 12-19 终端 服务 的 登录 设置 
(1) 使 用 客户 端 提供 的 登录 信息 。 客 户 端 在 登录 终端 服务 器 时 ,终端 服务 器 利用 客 
户 端 提供 的 用 户 名 和 密码 进行 验证 。 


(2) 总 是 使 用 下 列 登录 信息 。 指 定 一 个 固定 的 用 户 名 、 密 码 ,让 所 有 连接 到 终端 服务 
器 的 用 户 都 自动 利用 这 个 账户 登录 。 但 这 样 可 能 会 引发 安全 问题 ,一般 不 建议 使 用 。 

(3) 总 是 密码 提示 。 不 论 用 户 的 远程 桌面 连接 软件 是 否 指定 了 用 户 名 和 密码 来 自动 
连接 ,每 次 连接 时 都 会 要 求 用 户 输 入 用 户 名 和 密码 。 


2. 远程 控制 设置 


选择 “远程 控制 ”选项 卡 ,可 以 设置 该 计算 机 被 远程 控制 的 方式 ,如 图 12-20 所 示 。 

远程 控制 允许 从 一 个 会 话 远程 控制 另 一 个 用 户 的 会 话 , 用 于 监视 或 随时 控制 另 一 个 
登录 到 终端 服务 器 的 会 话 。 假 设 有 一 个 连接 到 终端 服务 器 的 用 户 在 执行 终端 服务 器 内 的 
应 用 程序 时 ,不 知道 该 如 何 操作 ,可 以 利用 终端 服务 器 所 提供 的 远程 控制 功能 ,以 系统 管 
理 员 的 身份 取得 他 的 远程 桌面 连接 控制 权 , 以 指导 该 用 户 如 何 操作 应 用 程序 。 

(1) 使 用 具有 默认 用 户 设置 的 远程 控制 。 表 示 用 户 能 否 被 远程 控制 由 用 户 账户 的 属 
性 决定 。 打 开 “Active Directory 用 户 和 计算 机 ”或 “本 地 用 户 和 组 ”来 检查 设置 。 以 域 用 
户 账户 为 例 , 其 远程 控制 属性 如 图 12-21 所 示 ,选取 “ 启 用 远程 控制 " 复 选 框 ,可 使 该 用 户 
被 远程 控制 。 

(2) 不 允许 远程 控制 。 该 用 户 与 终端 服务 器 之 间 的 会 话 , 无 法 被 远程 控制 。 

(3) 使 用 具有 下 列 设 置 的 远程 控制 。 所 有 用 户 的 会 话 都 可 以 被 控制 ,并 且 可 以 决定 
如 何 被 远程 控制 。 
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图 12-20 终端 服务 的 远程 控制 设置 图 12-21 启用 远程 控制 


Q@ 需要 用 户 权 限 。 当 用 户 被 远程 控制 时 ,要 经 过 该 用 户 的 同意 。 
@ 查看 会 话 。 只 能 够 查看 用 户 与 终端 服务 器 之 间 的 会 话 。 
@ 与 会 话 交 互 。 可 以 利用 键盘 、 鼠 标 来 操作 ,控制 远程 用 户 与 服务 器 之 间 的 会 话 。 


3. 客户 端 设置 


选择 "客户 端 设 置 "选项 卡 , 可 以 配置 登录 后 是 否 使 用 客户 端的 驱动 器 .打印 机 等 设 
备 , 还 可 以 设置 颜色 深度 以 及 禁用 一 些 项 目 等 ,如 图 12-22 所 示 。 


图 12-22 终端 服务 的 客户 端 设置 
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可 以 启动 或 禁用 一 些 本 地 资源 项 目的 映射 功能 。 

(1) 驱动 器 映射 。 设 置 在 远程 桌面 窗口 是 否 可 以 使 用 客户 端的 本 地 磁盘 驱动 器 。 

(2) Windows 打印 机 上 映射。 设置 在 远程 桌面 窗口 是 否 可 以 使 用 客户 端的 本 地 打 
印 机 。 

(3) LPT 端口 映射 。 设 置 在 远程 桌面 窗口 是 否 可 以 使 用 客户 端的 本 地 LPT 端口 。 
若 启 用 该 映射 ,用 户 在 远程 桌面 窗口 添加 打印 机 时 ,就 可 以 选择 本 地 的 LPT 端口 ,因此 终 
端 服务 器 内 的 文件 也 可 以 通过 连接 在 本 地 LPT 端口 的 打印 机 来 打印 。 

(4) COM 端口 映射 。 设 置 在 远程 桌面 窗口 是 否 可 以 使 用 客户 端的 本 地 COM 端口 。 
若 局 用 该 映射 ,用 户 在 远程 桌面 窗口 内 使 用 串口 时 ,也 可 以 选择 本 地 的 COM 端口 。 

(5) 剪贴 板 映射 。 允 许 在 本 地 与 终端 服务 器 之 间 使 用 * 复 制 " 与 “粘贴 ”命令 。 

(6) 音频 映射 。 允 许 终端 服务 器 所 发 出 的 声音 通过 客户 端的 本 地 计算 机 来 发 声 。 


4. 终端 服务 配置 文件 


要 配置 终端 服务 配置 文件 ,操作 步骤 如 下 。 

单 击 * 开 始 ” 一 “管理 工具 ”>“Active Directory 用 户 和 计算 机 ”, 选 取 用 户 账户 所 在 的 
容器 , 右 击 用 户 账户 ,打开 账户 属性 对 话 框 , 单 击 * 终 端 服务 配置 文件 ”选项 卡 ,如 图 12-23 
所 示 。 


图 12-23 “终端 服务 配置 文件 ”选项 卡 


(1) 在 “配置 文件 路 径 ” 文 本 框 中 输入 终端 服务 配置 文件 的 路 径 。 

(2) 在 “终端 服务 主 文件 夹 ”的 “本 地 路 径 ” 处 ,可 以 指定 用 于 终端 服务 会 话 的 主 文件 
夹 的 本 地 路 径 , 也 可 以 通过 “连接 ”设置 终端 服务 主 文件 夹 的 UNC 路 径 。 

(3) 允许 登录 到 终端 服务 器 。 如 果 禁 用 此 项 , 则 不 允许 用 户 登 录 到 任何 终端 服务 器 。 
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12.4 设置 客户 端的 远程 桌面 连接 


在 客户 端 计算 机 上 ,要 更 改 远 程 桌面 连接 设置 ,操作 步骤 如 下 。 
单 击 “ 开 始 ”>“ 所 有 程序 ”>“ 附 件 ” 一 “通信 ”一 “远程 桌面 连接 ”, 打 开 “ 远 程 桌面 连 
接 ” 对 话 框 ,如 图 12-24 所 示 。 


渭 远 程 点 面 连接 


CA 
7 


图 12-24 “远程 桌面 连接 ”对 话 框 


1. 常规 设置 
单 击 图 12-24 中 的 “选项 "按钮 ,选择 “常规 ”选项 卡 ,如 图 12-25 所 示 。 


强 远 程 和 点 面 连接 


而 
7 


12-25 ”远程 桌面 连接 的 “常规 ”选项 卡 


在 “登录 设置 ?区域 的 “计算 机 ?文本 框 中 输入 要 进行 远程 桌面 连接 的 计算 机 名 称 或 
IP 地 址 ,在 “用 户 名 ”文本 框 中 输入 用 户 名 ,在 “密码 ”文本 框 中 输入 用 户 的 登录 密码 ,在 
“ 域 ”文本 框 中 输入 要 登录 的 域名 称 ,用 户 若 要 保存 密码 ,可 选中 “保存 密码 ” 复 选 框 。 在 
“连接 设置 区域 单 击 * 另 存 为 "按钮 ,可 将 当前 的 设置 信息 保存 下 来 ,以 后 用 户 可 直接 单 击 
“打开 ?按钮 ,打开 以 前 保存 的 设置 。 单 击 “ 连 接 ” 按 钮 , 即 可 进行 远程 桌面 连接 。 
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2. 显示 设置 
选择 “显示 ”选项 卡 ,用 户 可 以 更 改 远 程 桌面 的 大 小 和 颜色 ,如 图 12-26 所 示 。 
3. 本 地 资源 


选择 “本 地 资源 ”选项 卡 ,如 图 12-27 所 示 。 可 以 设置 远程 计算 机 声音 、 键 盘 操作 是 否 
带 到 本 地 计算 机 上 ,以 及 登录 到 远程 计算 机 时 是 否 可 以 使 用 本 地 的 磁盘 驱动 器 .打印 机 等 


图 12-26 远程 桌面 连接 的 “显示 ”选项 卡 图 12-27 远程 桌面 连接 的 “本 地 资源 ”选项 卡 


(1) 远程 计算 机 声音 。 可 设置 远程 计算 机 上 的 声音 是 带 到 本 地 计算 机 上 播放 ,还 是 
不 播放 远程 计算 机 上 的 声音 ,还 是 将 远程 计算 机 上 的 声音 留 在 远程 计算 机 上 。 

(2) 键盘 。 当 用 户 应 用 Windows 组 合 键 时 ,设置 用 来 操作 的 是 本 地 计算 机 ,还 是 远 
程 计算 机 ,还 是 只 在 全 屏 模式 下 才 操作 远程 计算 机 。 

(3) 本 地 设备 。 设 置 用 户 在 登录 到 远程 计算 机 时 是 否 自动 连接 磁盘 驱动 器 .打印 机 
及 申 口 等 本 地 设备 。 例 如 ,车 选中 “磁盘 驱动 器 " 复 选 框 ,成 功 建立 远程 桌面 连接 后 ,允许 
在 远程 计算 机 与 本 地 计算 机 之 间 进 行文 件 的 移动 .复制 .粘贴 等 操作 。 


4. 程序 
选择 “程序 ?选项 卡 ,如 图 12-28 所 示 , 可 以 设置 在 连接 时 自动 启动 指定 的 程序 。 
5. 高 级 设置 


选择 “高 级 ?选项 卡 , 如 图 12-29 所 示 ,可 以 根据 本 地 计算 机 与 远程 计算 机 之 间 连 接 的 
速度 来 调整 .优化 远程 桌面 连接 的 设置 。 在 条 件 允 许 的 情况 下 , 尽 可 能 选择 较 高 的 连接 速 
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度 , 以 使 其 发 挥 更 大 的 性 能 。 
卉 远程 点 面 连接 


筷 “ 济 


图 12-28 ”远程 桌面 连接 的 “程序 "选项 卡 图 12-29 远程 桌面 连接 的 “高 级 ”选项 卡 


12.5 终端 服务 和 远程 桌面 的 区 别 


终端 服务 仅仅 存在 于 Windows Server 2000 和 Windows Server 2003 中 ,默认 情况 
下 ,操作 系统 中 不 安装 终端 服务 ,需要 通过 添加 /删除 Windows 组 件 来 手动 安装 。 终 端 服 
务 最 大 的 好 处 是 允许 多 用 户 同 时 运行 终端 服务 器 的 应 用 程序 。 

远程 桌面 主要 是 为 了 便于 系统 管理 员 远 程 管理 服务 器 而 推出 的 一 项 功能 。 该 功能 允 
许 用 户 使 用 “远程 桌面 连接 "程序 连接 到 启用 了 远程 桌面 的 计算 机 上 。 成 功 连接 后 ,用 户 
也 可 以 运行 远程 计算 机 上 的 程序 ,管理 远程 计算 机 等 ,就 好 像 是 直接 坐 在 远程 计算 机 上 操 
作 一 样 。 远 程 计算 机 接收 用 户 在 客户 端 计算 机 上 鼠标 \ 键 盘 的 输入 ,而 程序 只 在 远程 计算 
机 上 执行 ,远程 计算 机 返回 给 客户 端 计算 机 的 是 其 屏幕 的 显示 结果 。 

远程 桌面 与 终端 服务 的 相同 之 处 ,它们 都 是 Windows 系统 的 组 件 ,都 可 以 运行 远程 
计算 机 上 的 应 用 程序 ,实现 对 远程 计算 机 的 远程 管理 或 控制 ,就 像 是 操纵 自己 的 本 地 计算 
机 一 样 简单 ,速度 也 非常 快 。 

远程 桌面 与 终端 服务 的 区 别 也 是 非常 明显 的 。 

(1) 远程 桌面 是 完全 免费 的 ,而 终端 服务 只 有 120 天 的 使 用 期 ,超过 这 个 免费 使 用 期 
就 需要 购买 许可 证 了 。 

(2) 远程 桌面 最 多 只 允许 两 个 管理 员 远 程 连接 ;而 终端 服务 没有 这 个 限制 ,只 要 购买 
了 足够 的 许可 证 ,有 多 少 个 用 户 同 时 登录 一 台 服 务 器 都 是 可 以 的 。 
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第 13 章 利用 VMware Workstation 
安装 Windows 


学 习 目标 
学 习 完 本 章 后 ,能 够 了 解 虚 拟 机 软件 的 作用 ,并 掌握 如 何 利 用 VMware Workstation 
从 ISO 镜像 或 安装 CD 安装 Windows Server 2003 。 


13.1 虚拟 机 概述 


1. 什么 是 虚拟 机 


虚拟 机 (Virtual Machine) 可 以 在 一 台 物 理 计算 机 上 模拟 出 若干 台 逻 辑 计 算 机 ,每 台 
逻辑 计算 机 可 以 单独 运行 而 互 不 干扰 ,从 而 实现 在 一 台 物 理 计算 机 上 同时 运行 多 个 操作 
系统 ,还 可 以 利用 多 个 操作 系统 构建 网 络 。 注 意 ,本 章 所 讲 的 虚拟 机 有 别 于 Java 虚拟 机 ， 
Java 虚拟 机 表示 不 依赖 操作 系统 平台 运行 的 Java 应 用 。 

虚拟 机 体系 结构 如 图 13-1 所 了 示 。 安 装 虚拟 机 的 物理 计算 机 称 为 主机 计算 机 (Host 
PC) ,物理 计算 机 上 运行 的 操作 系统 称 为 主机 操作 系统 (Host OS) ,其 中 安装 的 虚拟 机 应 
用 程序 可 以 模拟 出 一 个 或 多 个 虚拟 机 ,在 虚拟 机 上 运行 的 操作 系统 称 为 客机 操作 系统 
(Client OS) 。 虚 拟 机 软件 可 以 在 主机 计算 机 上 模拟 出 若干 台 虚 拟 机 ,虚拟 机 可 以 同时 运 
行 ,可 以 像 标准 Windows 应 用 程序 那样 相互 切换 。 每 个 客机 操作 系统 之 间 、 客 机 操作 系 
统 和 主机 操作 系统 之 间 可 以 通过 虚拟 网 卡 连接 成 为 一 个 局 域 网 。 


应 用 程序 应 用 程序 应 用 程序 
应 用 程序 客机 操作 系统 | 客机 操作 系统 | 客机 操作 系统 
虚拟 层 
主机 操作 系统 
Intel 构 架 
CPU 内 存 网 卡 磁盘 


图 13-1 虚拟 机 体系 结构 


目前 ,基于 Intel 平台 的 虚拟 机 应 用 程序 的 典型 产品 有 VMware 的 Workstation、 
GSX Server、ESX Server 和 Microsoft 的 Virtual PC、Virtual Server 等 。 它 们 均 可 使 用 虚 
拟 的 Intel x86 平台, 同时 运行 多 个 操作 系统 和 应 用 程序 。 虚 拟 机 为 客机 操作 系统 提供 了 
一 整套 虚拟 的 Intel x86 兼容 硬件 ,其 虚拟 了 物理 计算 机 所 拥有 的 全 部 设备 ,包括 主板 芯 
片 .CPU 内存、SCSI 和 IDE 磁盘 设备 各 种 接口 和 显示 设备 等 。 每 个 虚拟 机 都 可 以 被 独 
立地 封装 到 一 个 文件 中 ,可 以 实现 虚拟 机 的 灵活 迁移 。 


第 13 章 医 刘 让 限 人 和 人 全 人 生生 人 


使 用 虚拟 技术 有 两 个 好 处 : 一 方面 是 使 用 虚拟 机 技术 把 一 个 物理 计算 机 虚拟 成 若干 
个 独立 的 逻辑 计算 机 ; 另 一 方面 是 使 用 网 格 技术 把 若干 个 分 散 的 物理 计算 机 虚拟 为 一 个 
大 的 逻辑 计算 机 。 虚 拟 机 主要 采用 分 区 技术 ,分 区 能 够 将 物理 系统 资源 划分 成 多 个 不 同 、 
单独 的 部 分 ,各 部 分 彼此 独立 操作 ,每 个 分 区 只 能 占用 一 定 的 系统 资源 。 


2. VMware 虚拟 机 简介 


VMware 公司 提供 工作 站 、 部 门 服务 器 和 企业 机 服务 器 的 虚拟 机 解决 方案 ,分 别 是 
VMware Workstation .VMware GSX Server 和 VMware ESX Server。 


VMware ESX Server 属于 高 阶 产 品 ， 


它 本 身 就 是 一 个 操作 系统 ,并 不 需要 Host OS 


的 支持 。 它 能 够 在 高 性 能 的 环境 中 提供 服务 器 整合 和 分 区 管理 ,为 用 户 提供 先进 的 资源 
管理 功能 ,以 及 带 有 远程 Web 管理 和 客户 端 管理 功能 。 

VMware GSX Server 需要 安装 在 Host OS 上 ,支持 Windows 2000 Server 以 上 的 
Windows 系统 或 者 Linux( 如 RedHat、SUSE、Mandrake 等 ), 具 有 远程 Web 管理 和 客户 


端 管理 功能 。 


VMware Workstation 提供 本 地 的 虚拟 服务 器 ,功能 与 VMware GSX Server 没有 太 
大 的 区 别 , 但 没有 Web 远程 管理 和 客户 端 管理 功能 。 


13.2 创建 并 配置 一 台 虚 拟 机 


获取 VMware Workstation 8. 0 安装 包 , 并 安装 。 
打开 VMware Workstation 8. 0, 主 界面 如 图 13-2 所 示 。 


VMware Workstation 


-5 


Fle Edt Yew WM Iabs Hep 
和 -| 忆 | 记 eagil5D 忆 于 局 | 吕 


俩 Home x 


VMware Workstation 8 


Create a New Virtual Machine 
Create a virtual machine on this 
he) computer 


国 。 connectto。Remote Server 
Open virtual machines on a remcte 
爱 Vireualize a Physical Machine 


® 


©@ 
© 


Virtual Network Editor 


Change the network confiouration used 
by virtual machines on this computer. 


Software Updates 
Check for software updates for VMware 
‘Workstation, 


Help 
View the help topics for VMware 
Werketation. 


N 


图 13-2 VMWare Workstation 8. 0 主 界面 
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单 击 Create a New Virtual Machine, 创 建 一 个 新 的 虚拟 机 ,新 建 虚拟 机 向 导 如 图 13-3 
所 示 。 


New Virtual Machine Wizard 画 | 


Welcome to the New Virtual 
Machine Wizard 


What type of configuration do you want? 


OO Typical (recommended) 
Create a Workstation 8.0 virtual machine 
na few easy steps. 

© Custom (edvanced) 
Create 3 virtual machine with advanced 


options, such as a SCSI controler type, 
VMware virtual disk type and compatibiity with 


Workstation 8 上 ta 


Bak [et> |[ Cancl 


图 13-3 ”新建 虚拟 机 向 导 


选择 Custom(advanced) 单 选 按钮 , 单 击 Next 按钮 ,选择 虚拟 机 硬件 兼容 性 ,如 图 13-4 


所 示 。 
New Virtual Machine Wizard 醒 
Choose the virtual Machine Hardware Compatibiity 
Which hardware features are needed for this virtual macdhine? 
Virtual machine hardware compatblity 
Hardware compatibiity: iWorkstaton8.0 |]v 
Compatible with: ES Server 
Compatible products: Limitations: 
ESX 5.0 6468 memory limit 
Fusion 4.0 8 processor lmit 
Workstation 8.0 10 network adapter imit 
2TB disk size imit 
Hep <Bak |[ Next> |[ Cancel 


图 13-4 选择 虚拟 机 硬件 兼容 性 


选择 Workstation 8. 0, 单 击 Next 按钮 .选择 安装 操作 系统 的 安装 源 ,如 图 13-5 所 示 。 
选择 的 操作 系统 为 Microsoft Windows, 版 本 为 Windows Server 2003 Enterprise 
Edition ,如 图 13-6 所 示 。 


者 定 虚 拟 机 名 称 和 存放 的 位 置 , 最 好 是 指定 到 可 用 空间 大 的 分 区 ,例如 G:\class vm 
2003 server\ ,如 图 13-7 所 示 。 


者 定 虚拟 机 的 处 理 器 配置 , 即 处 理 器 个 数 及 每 个 处 理 器 为 几 核 , 如 图 13-8 所 示 。 
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New Virtual Machine Wizard 
Guest Operating System Installation 


System. How wi you nstal the guest operatng system? 


A virtual machine is ike a physical computer; it needs an operating 


Instal from: 

OInstaler dsc: 

态 DDRwih 4) > 

〇 instaler disc mage fie (so): 

C:\Program FlesWMwareWMware Workstaton Ynux.is ~ Browse. 
[hep [ <Back |[ Next> || Cancel | 


图 13-5 选择 操作 系统 的 安装 源 


Select a Guest Operating System 
Which operating system wil be installed on this virtual machine? 


New Virtual Machine Wizard 本 


Guest operating system 


® 


| [Lext> ][ Cancel | 


13-6 ”操作 系统 及 其 版 本 选择 


New Virtual Machine Wizard Lx 


Name the Virtual Machine 
What name would you ike to use for this virtual machine? 


Vrtual machine name: 
[Windows Server 2003 Enterprise Editon 


Location: 


Grass vm 2003 server | 


The default location can be changed at Edit > Preferences. 


Next> | [| cance 


图 13-7 指定 虚拟 机 的 名 称 和 存放 位 置 
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New Virtual Machine Wizard | 


Processor Configuration 
Speafy the number of processors for ths virtual machine. 


Processors 
Number of processors: 


Number of Cores per processor: 
Total processor cores: 1 


[Cnep | [<ek |[ et> ][ cance | 


图 13-8 指定 处 理 器 的 配置 
指定 虚拟 机 的 内 存 大 小 ,建议 使 用 推荐 的 内 存 大 小 ,如 图 13-9 所 示 。 
New Virtual Machine Wizard 醒 


Memory for the virtual Machine 
How much memory would you ke to use for ths virtual machine? 


Spedfy the amount of memory alocated to this virtual machine. The memory size 


must be a multiple of 4MB, 

Ge Memory for ha wrtual madne: MB 
了 2GB 

15GB 

8GB 

4GB 目 Maximum recommended memory: 

2GB a 2344MB 

168 

SP MB | @ Recommended memory: 

256 MB 384MB 

Te MB a 

MB 口 Guest OS recommended mrimum: 

MB 128MB 

16MB 

SM 

4MB 
[Hep [<Badk |[ Next> ][ Cancel | 


图 13-9 指定 虚拟 机 的 内 存 大 小 


指定 虚拟 机 的 网 络 连接 方式 ,在 此 使 用 NAT, 如 图 13-10 所 示 。 
New Virtual Machine Wizard Lx 


Network Type 
What type of network do you want to add? 


Network connection 


Ose bridged networking 
Give the guest operating system drect access to an external Ethernet 
network, The guest must have its own IP address on the external network 


Use nework address ransiaton (NAT 
Give the guest operating 5ystem access to the host computer's dial-up or 
external Ethernet network connecbion usng the hosts IP address. 


Use host-only networking 
Connect the guest operating system to a private vrtual network on the host 
computer. 


ODo not use a network connection 


[rep _ <Back Next> || Cancel | 


13-10 指定 虚拟 机 网 络 连接 方式 
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选择 IO 控制 器 的 类 型 ,默认 选项 即 可 ,如 图 13-11 所 示 。 


New Virtual Machine Wizard 到 | 


Select I/O Controller Types 
Which SCSI controler type would you lke to use? 


To controler types 

IDE Controler: ATAPI 

SCSI Contoler，C 〇 BusLogk 
LSTLogd Recommended) 
OstLoge ss 


[hep [<edk ][L et> ][ cance | 


图 13-11 指定 VO 控制 器 的 类 型 


选择 硬盘 ,选择 Create a new virtual disk( 创 建新 的 虚拟 硬盘 ) 单 选 按钮 ,如 图 13-12 
所 示 。 
New Virtual Machine Wizard 桓 


Select a Disk 
Which disk do you want to use? 


Disk 


©reate a new vrtual dk 
A virtual disk is composed of one or more files on the host fle system, which 
EE ee ee 
can easiy be copied or moved on the same host or between 
OUse an existing virtual disk 
(Choose this option to reuse a previously configured disk. 


OUse a physical disk (for advanced users) 
Choose this option to gve the virtual machine direct access to alocal hard 
disk. 


E 


[_Hhep <Bak |[ Next> 


图 13-12 创建 新 的 虚拟 硬盘 


选择 硬盘 的 类 型 ,默认 选项 即 可 ,如 图 13-13 所 示 。 

指定 虚拟 机 的 虚拟 硬盘 容量 大 小 ,例如 40GB, 如 图 13-14 所 示 。 

指定 虚拟 硬盘 的 存储 位 置 和 文件 名 ,最 好 指定 到 虚拟 机 的 存放 位 置 ,例如 G:\class 
vm 2003 server\, 如 图 13-15 所 示 。 

单 击 Next 按钮 ,出 现 虚 拟 机 的 配置 摘要 ,如 图 13-16 所 示 。 

单 击 Finish 按钮 ,完成 虚拟 机 创建 向 导 , 虚 拟 机 创建 完成 的 界面 如 图 13-17 所 示 。 
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indows 网 


New Virtual Machine Wizard | > 让 


Selecta Disk Type 
What kind of disk do you want to aeate? 


Virtual disk type 
Ope 
Ec Reconmended) 


Crp | [<Bedk |[ Next> ||[ ca | 


图 13-13 选择 虚拟 硬盘 的 类 型 


New Virtual Machine Wizard | >x 让 


Specify Disk Capacity 
How large do you want this disk to be? 


Mayximum disk gize (GB): 2| 


Recommended size for Windows Server 2003 Enterprise Editon: 40 GB 


Dalocate al disk space now. 
Alocating the ful capadty can enhance performance but requres all of the 
physical disk space to be avaiable right now. lf you do not alocate al the 
Space now, the virtual disk starts small and grows as you add data to it. 


Ostore wtual dskasasnge fle 


© spht virtual disk into multiple fles 


Splitting the disk makes It easier to move the virtual machine to another 
computer but may reduce performance with very large disks. 


[hep | [<Bk |[ Next> |[ canal | 


13-14 指定 虚拟 硬盘 容量 大 小 


New Virtual Machine Wizard | 


Specify Disk File 
Where would you bike to store the disk fle? 


Disk Fie 


‘One disk file wil be created for each 2 GB of virtual disk capacty. Fie names for 
each file beyond the first will be automatically generated using the fie name 
Provided here as a basis. 


[ERAdass vm 2003 server\Windows Server 2003 Enterprise Editiorl | | Browse... 


rep | [ <Back ||[ et> || Cancel | 
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图 13-15 指定 虚拟 硬盘 的 文件 名 和 存储 位 置 


利用 VMware Workstation 安装 Wi 


New Virtual Machine Wizard | 


Ready to Create Virtual Machine 
Chck Finish to aeate the virtual madhine. Then you can nstal Windows 
Server 2003 Enterprise Edition. 


The virtual machine wil be aeated with the folowing settings: 


Name: Windows Server 2003 Enterprise Edition 和 
Location: Gi\class vm 2003 server | 
Version: Workstation 8.0 


Operating Sy.. Windows Server 2003 Enterprise Edition | 


Hard Diske 40 GB, Split 
Memory: 384 MB ~ 
< > 
Customize Hardware... 
<Badk Finish Cancel 


图 13-16 虚拟 机 的 配置 摘要 


回 Windows Server 2003 Enterprise Edition - VMware Workstation - oN 
Ele Edit View VM Iabs Help 

Pr| | 光 介 村 | 四 品 加 局 | 口 
人 Howe 关 | WD Windows Server 2003 Ent-. x 


Windows Server 2003 Enterprise Edition 


bp Power on this 
硬 Edivitualn 


~ Devices 
本 Memony 384 MB 
Processors 
Hoard Disk GcsD 40 GB 
© D/OVD aDE) Auto detect 
回 Feppy Aute dotoct 
网 Network Adep- NAT 
图 use Controller present 
Wsound Card Auto detect 


响 Printer Present 
轩 Display Auto detect 
Description Virtual Machine Details 


1 Slate: Powered off 
Configuration file: G\class vm 2003 server\Windows Server 2003 Enterprise Edition 2mx 
Hardware compatibility: Workstetion 8.0 vitual machine 


国 4 


图 13-17 虚拟 机 创建 完成 的 界面 


13.3 开始 安装 操作 系统 


如 果 使 用 Windows 的 ISO 镜像 文件 安装 操作 系统 , 单 击 图 13-16 中 的 CD/DVD 
(IDE) ,指定 ISO 镜像 文件 的 位 置 (请 提前 将 Windows 的 ISO 镜像 文件 下 载 到 本 地 磁盘 
上 ) ,如 图 13-18 所 示 。 

单 击 OK 按钮 ,返回 图 13-17 的 主 界面 , 单 击 Power on this vitual machine, 即 可 在 虚 
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Virtual Machine Settings 画 | 
ordware Oplore 
| Devce Summary ee 
| Memery 384MB BComeded 
Processors 1 comnea a power on 
| SpardDesk (scsD) 和 
| 加 cpiovyp DE using fleE:los vrual pciwind. a 
| 目 Fopey Auko detedt Ose physical drive: 
| en nomeer Mr 二 
| 图 use conroler Fresent 
由 zurdcad ato cetoct Dise Is0 mage tie: 
| 下 prnter Fresent [Eilos wrual pciWindows Server } v| | Bow 
| owpey uke doc 
| Es 
| 
| 
| 
| 
| 
| 
| 
| 
add， Remove 
3 Ca pep 


图 13-18 指定 ISO 镜像 文件 的 位 置 


拟 机 上 从 光盘 (ISO 镜像 文件 ) 开 始 安装 操作 系统 ,Windows Server 2003 欢迎 安装 界面 如 
图 13-19 所 示 。 


图 13-19 Windows Server 2003 欢迎 安装 界面 


要 现在 开始 安装 Windows ,请 按 Enter 键 ,出 现 Windows 授权 协议 界面 ,如 图 13-20 
所 示 。 

按 F8 功能 键 ,同意 许可 协议 ,之 后 出 现 如 图 13-21 所 示 的 磁盘 分 区 界面 。 

接 下 来 创建 磁盘 分 区 。 虽 然 可 以 直接 按 Enter 键 在 未 划分 的 空间 上 安装 Windows， 


第 13 章 医 居 有 W 生 全 ET 二 人 


Page Down= 下 一 页 


图 13-20 Windows 授权 协议 界面 


图 13-21 磁盘 分 区 界面 


但 不 建议 这 样 做 ,这 样 做 的 后 果 是 系统 安装 完成 后 ,整个 系统 默认 将 只 有 一 个 C 盘 。 

要 在 尚未 划分 的 空间 中 创建 磁盘 分 区 ,请 按 C 键 , 在 如 图 13-22 所 示 的 界面 中 ,指定 
要 创建 的 磁盘 分 区 大 小 ,例如 20 000MB。 

按 Enter 键 完 成 分 区 1 的 创建 ,如 图 13-23 所 示 。 

可 以 在 未 划分 的 空间 中 创建 新 的 分 区 ,也 可 按 D 键 删除 已 创建 的 分 区 。 

在 刚才 创建 的 分 区 1 上 安装 Windows, 按 Enter 键 。 

格式 化 磁盘 分 区 ,选择 “用 NTFS 文件 系统 格式 化 磁盘 分 区 ( 快 )”, 如 图 13-24 所 示 。 

安装 程序 正在 格式 化 磁盘 分 区 ,如 图 13-25 所 示 。 
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indows 


mnpi [MBR] 


Enter= 创 建 ”Esc- 取 消 


图 13-22 ”指定 要 创建 的 磁盘 分 区 大 小 


MB ( 19997 MB 可 用 


图 13-23 ”完成 分 区 1 的 创建 


Windows Server 2003, Enter ition 安装 程序 


图 13-24 格式 化 磁盘 分 区 


13 ware Workstation 安 活 Windows 
利用 VM Workstation 安装 


图 13-25 ”安装 程序 正在 格式 化 磁盘 分 区 


格式 化 完成 后 ,开始 复制 文件 并 重新 启动 。 
开始 进入 图 形 界面 安装 阶段 ,如 图 13-26 所 示 。 


和 于 
站 入 二 和 看 曙 各 Web 1 


二 3 
装 程 序 大 约会 在 以 
简明 加 


图 13-26 图 形 界面 安装 向 导 


指定 区 域 和 语言 选项 ,输入 姓名 和 单位 ,如 图 13-27 所 示 。 

输入 产品 密 钥 ,如 图 13-28 所 示 。 

选择 授权 模式 ,一 般 选 择 每 服务 器 模式 ,如 图 13-29 所 示 。 

每 服务 器 模式 限制 同时 访问 本 机 的 客户 机 数量 ,每 服务 器 模式 适合 在 只 有 一 台 或 少 
量 服务 器 的 网 络 中 使 用 。 
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次 输入 您 的 姓名 以 及 公司 或 单位 的 名 称 。 


壮 名 四 ) [cijiataql 
单位 @)- rls 


《上 - 步 四 [-*m ]] 


图 13-27 输入 姓名 .单位 信息 


悠 的 产品 密 钥 
您 的 产品 窗外 唯一 标识 修 的 Windors。 


en 
请 在 下 面 输 入 “批量 许可 证 ”产品 窗外 

产品 密 铀 中) 

Fu pss ps pss 四 Pa 


《上 - 步 四 [T- 步 中 


图 13-28 输入 产品 密 钥 


【到 请 选 笃 希望 使 用 的 授权 模式 , 


卫 区 而 ， 同 这 玉 煌 ED 刻本 
每 个 连接 必须 有 自己 的 “客户 庄 访 问 许可 证 ”- 
个 每 设备 或 等 用 户 G)。 


每 个 设备 或 每 个 用 户 必 须 有 自己 的 “客户 端 访问 许可 证 ”. 


人 “管理 工具 ”中 ) 来 记录 已 


《上 -#* 四 [FT-*m】 


图 13-29 选择 授权 模式 


第 13 章 陛 刘 让 限 作 人 人 和 SET 


安装 Windows 


每 设备 模式 不 限制 ,但 要 求 每 台 客户 机 都 要 购买 “客户 端 访问 许可 证 ”, 每 设备 模式 适 
合 于 有 多 台 服 务 器 的 网 络 中 使 用 。 
输入 计算 机 名 称 和 管理 员 密 码 , 如 图 13-30 所 示 。 


NF Wihdows 


装 程 序 


站 机 名 称 和 管理 员 密 码 
您 必须 提供 计算 机 名 称 和 管理 员 密码 。 


ei 和 ， 加 果 这 各 计算 机 在 网 络 上 ,网 络 管理 
计算 机 名 称 避 )- Famansss | 
aa 
请 健 入 管理 郧 密码 - 
管理 员 它 码 ) 
确认 窑 码 2) 


《上 - 步 四 [下 -上 oj 


图 13-30 输入 计算 机 名 称 和 管理 员 密 码 


计算 机 名 称 最 好 自己 定义 一 个 ,方便 记忆 和 查找 。 
接 下 来 设置 日 期 和 时 间 ,设置 网 络 属性 ,选择 * 典 型 设置 ?或 者 “ 自 定 义 设置 ,在 此 选 
择 “ 自 定义 设置 *, 如 图 13-31 所 示 。 


配置 网 
单 击 ” 


了 Windows 
@ 收集 信 息 
@ 动态 更 新 
@ 从 和 安装 
. 
® te 


安装 程序 大 的 会 在 并 开设 置 CD) 
锯 题 加 Pe 


= 让 定 文法 全 
区 许 手动 配置 同 络 昌 | 


[a 选择 使 用 典型 设置 还 是 自 定义 设置 


件 。 


《上 - 步 四 [-* 四 


图 13-31 选择 “ 自 定义 设置 "选项 


络 组 件 ,选择 “Internet 协议 (TCP/IP)”, 如 图 13-32 所 示 。 
属性 ”按钮 ,根据 网 络 实际 情况 ,选择 “自动 获得 IP 地 址 ”DHCP) 或 者 “使 用 下 
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面 的 IP 地 址 (手工 静态 分 配 IP 地 址 ) ,如 图 13-33 所 示 。 


同 络 组 件 
庆生， 为 这 个 设备 用 网 8 姐 件 . 要 天 加 一 个 组 ， 语 单调 “ 安 


设备 ，Intel (R) PR0/1000 BT Netvork Connection 
此 连接 使 用 下 列 选 定 的 组 件 C): 

回国 Wcrosorft 局 3 客户 该 

品 负载 

rosoft 网 络 的 文件 和 打印 机 共享 


安装 (0) E30 属性 名 ) 


基 述 
| TICP/IP 是 默认 的 广域网 协议 。 它 提供 跨 延 多 种 互联 网 络 的 通讯 


ed TE 


图 13-32 ”网络 组 件 


[wd EET Dx 


首 雍 DNs 起 多 骂 中 ) 


备用 DNS 服务 器 以) 


图 13-33 选择 IP 地 址 的 分 配方 式 


选择 工作 组 或 计算 机 域 ,保持 默认 的 工作 组 WORKGROUP, 如 图 13-34 所 示 。 
完成 后 续 的 安装 过 程 ,重启 后 .系统 安装 完成 。 
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Windows 


工作 蛆 或 计算 机 域 
天 提 是 具有 相同 工作 提名 的 一 绍 计 复 机 ， 城 则 是 站 的 和 理 只 定义 的 -组 
计算 机 。 


他 


< [FS j] 


图 13-34 选择 工作 组 或 计算 机 域 


13.4 虚拟 机 快捷 键 


虚拟 机 快捷 键 如 表 13-1 所 示 。 


表 13-1 虚拟 机 快捷 键 


快捷 键 功 能 

Ctrl 十 B 开机 

Ctrl 十 E 关机 

Ctrl 十 R 重启 

Ctrl 十 Z 挂 起 

Ctrl+N 新 建 一 个 虚拟 机 

Ctrl+O 打开 一 个 虚拟 机 

i Ai 如 果 虚 拟 机 开 着 ,一 个 确认 对 话 框 将 

Ctrl+D 编辑 虚拟 机 配置 

Ctrl+G 为 虚拟 机 捕获 鼠标 和 键盘 焦点 

Ctrl+P 编辑 参数 

Ctrl 十 Alt 十 Enter | 进入 全 屏 模 式 

Ctrl 十 Alt 返回 正常 (窗口 ) 模 式 

Ctrl 十 Alt 十 Tab 当 鼠 标 和 键盘 焦点 在 虚拟 机 中 时 ,在 打开 的 虚拟 机 中 切换 

Ci 当 鼠 标 和 键盘 焦点 不 在 虚拟 机 中 时 ,在 打开 的 虚拟 机 中 切换 。VMware 
Workstation 应 用 程序 必须 在 活动 应 用 状态 上 

CtrlLHShiftHTab | 当 鼠 标 和 键盘 焦点 不 在 虚拟 机 中 时 ,在 打开 的 虚拟 机 中 切换 。VMware 
Workstation 应 用 程序 必须 在 活动 应 用 状态 上 
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13.5 VMware WorkStation 的 网 络 连 接 方式 


在 学 习 VMware 的 网 络 模型 之 前 , 先 介绍 VMware 的 几 个 虚拟 设备 。 

VMnet0: VMware 用 于 虚拟 桥接 网 络 下 的 虚拟 交换 机 。 

VMnetl1: VMware 用 于 虚拟 Host-Only 网 络 下 的 虚拟 交换 机 。 

VMnet8: VMware 用 于 虚拟 NAT 网 络 下 的 虚拟 交换 机 。 

VMware Network Adapter VMnet1: Host 用 于 与 Host-Only 虚拟 网 络 进行 通信 的 
虚拟 网 卡 。 

VMware Network Adapter VMnet8: Host 用 于 与 NAT 虚拟 网 络 进行 通信 的 虚拟 
网 卡 。 

VMware 网 络 连 接 的 方式 主要 有 桥接 、NAT、 主 机 网 络 (Host-Only)。 


1. 使 用 桥接 网 络 


使 用 VMnet0 虚拟 交换 机 ,此 时 虚拟 机 相当 于 网 络 上 的 一 台独 立 计算 机 ,与 主机 一 
样 ,拥有 一 个 独立 的 IP 地 址 ,其 网 络 拓扑 如 图 13-35 所 示 ,使 用 桥接 方式 ,A、Al、A2、B 可 


互 访 。 
其 他 网 络 ， 
如 Internet 
局 域 网 VMnet0 
交换 机 “| | 虚拟 交换 机 
主机 A 
主机 B 
虚拟 机 A2 虚拟 机 Al 
图 13-35 ”桥接 方式 网 络 拓扑 示意 图 
2. NAT 


使 用 VMnet8 虚拟 交换 机 ,此 时 虚拟 机 可 以 通过 主机 单 向 访问 网 络 上 的 其 他 工作 站 ， 
其 他 工作 站 不 能 访问 虚拟 机 。 其 网 络 拓扑 如 图 13-36 所 示 , 使 用 NAT 方式 ,Al、A2 可 以 
访问 B, 但 B 不 可 以 访问 Al1、A2。 但 A、Al、A2 可 以 互 访 。 


3. 使 用 主机 网 络 


使 用 VMnetl 虚拟 交换 机 ,此 时 虚拟 机 只 能 与 虚拟 机 、 主 机 互 访 ,也 就 是 虚拟 机 不 能 
访问 Internet, 其 网 络 拓 扑 如 图 13-37 所 示 ,使 用 Host 方式 ,A、Al、A2 可 以 互 访 ,但 Al、 
A2 不 能 访问 B, 也 不 能 被 BB 访问 。 


局 域 网 
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VMnet0 


交换 机 | | 虚拟 交换 机 


主机 B 


NAT 
路 由 器 


VMnet8 
虚拟 交换 机 


虚拟 机 A2 


图 13-36 NAT 方 式 网 络 拓扑 示意 图 


局 域 网 


交换 机 | | 虚拟 交换 机 


主机 B 


主机 A 


虚拟 机 Al 


VMnet0 


VMnetl 
虚拟 交换 机 


虚拟 机 A2 


图 13-37 主机 网 络 方式 拓扑 示意 图 


主机 A 


虚拟 机 Al 


中 六 


安 涤 Windows 
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